Zo bescherm je een website tegen hackers
Of het nu gaat om een informatieve website, een webshop of een besloten platform: geen enkele website kan zonder website beveiliging. In dit blog beschrijven we de grootste bedreigingen waar website-eigenaren rekening mee dienen te houden, en vertellen we hoe je een website kunt beveiligen tegen ongewenste aanvallen.
Website veiligheid vanuit bezoekers gezien
Zou je als klant ooit nog een fysieke winkel binnengaan waar je niet netjes behandeld, of zelfs bestolen wordt? Waarschijnlijk niet. Hetzelfde gaat op voor bezoekers van websites of webshops wanneer hun gegevens gestolen worden. Bij een geslaagde aanval door cybercriminelen zijn zowel bezoekers van de website als de website-eigenaar slachtoffer. Website beveiliging is daarom enorm belangrijk.
- Hoe herken je als bezoeker een onveilige verbinding met een server? De meest eenvoudige manier om een website te beveiligen is met SSL-certificering. SSL staat voor Secure Sockets Layer. Een site die dit SSL-certificaat heeft is te herkennen aan een slotje in de adresbalk van de browser. Dit slotje is een veiligheidssymbool als bewijs dat de gegevens die worden uitgewisseld tussen de website en de bezoeker versleuteld zijn.
Zie je geen slotje in de adres balk, dan betekent dit dat de verbinding niet veilig is. Er wordt in dat geval een onveilige verbinding tot stand gebracht via HTTP, in plaats van een beveiligde verbinding via HTTPS. Tegenwoordig geven Google en Chrome bezoekers een waarschuwing dat ze op het punt staan naar een onveilige website te surfen. Via een onbeveiligde website loop je het gevaar dat aanvallers toegang krijgen tot:
- Gebruikers login en wachtwoorden
- Persoonlijke informatie zoals naam en adres
- Betalingsgegevens zoals creditcardgegevens
- Privéberichten die op de website zijn geplaatst
Welke risico’s loopt een onbeveiligde website?
Een veilige website verhoogt het klantvertrouwen. Wat weer zorgt voor meer bezoekers, meer conversie en/of aankopen en een betere ranking. Maar er zijn heel veel punten waarop het mis kan gaan:
- Onveilige http website: hackers lezen gegevens via een niet-versleutelde verbinding
- Phishing: oplichters gebruiken het ontwerp van onveilige websites als dekmantel
- DDoS-aanval: een overkill aan bezoekpogingen door speciaal daarvoor ontwikkelde programma’s leggen een website lam
- Cross Site Scripting (XSS): hackers plaatsen code op de website. Meestal in Javascript. Reactievelden worden hier bijvoorbeeld vaak voor gebruikt. XSS-aanvallen richten zich over het algemeen rechtstreeks op de gebruikers van de website. XXS wordt voornamelijk gebruikt om toegangsgegevens en andere gevoelige informatie van bezoekers te stelen.
- Clickjacking: een techniek om websitebezoekers te verleiden om op een schadelijke link te klikken, door de link als iets anders te vermommen.
- Drive-By downloaden: het onbedoeld downloaden van kwaadaardige code naar een apparaat.
- Randsomware is een vorm van hacken waarbij de hacker zal dreigen om belangrijke gegevens openbaar te maken of de website uit de lucht te halen, tenzij je een bedrag ophoest. De meest voorkomende methoden die gebruikt wordt bij randsomware zijn e-mailphishing en het versturen van spamberichten met een bijlage of link die naar een besmette website leiden.
Hoe kun je als website-eigenaar een website beveiligen?
Website beveiliging gaat over alle maatregelen die je kunt nemen om een website te beveiligen tegen kwaadwillende aanvallen. Een website beveiligen gaat dus veel verder dan kiezen voor een sterk wachtwoord. Het gaat om alle maatregelen die te nemen zijn aan de serverzijde. Inclusief de veiligheid die de hostingpartij biedt. Met andere woorden: om een website goed te beveiligen heb je een pakket aan zekerheden nodig. De website zelf dient beveiligd te worden tegen aanvallen, maar ook webservers en datacenters moeten voldoende betrouwbare componenten inbouwen om cybercriminelen buiten de deur te houden.
Er 100% zeker van zijn dat jouw website nooit zal worden getroffen door een cyberaanval, is helaas onmogelijk. Daarvoor gebeurt het te vaak, door te veel cybercriminelen. Wel is er voldoende mogelijk om websites zo goed mogelijk te beveiligen. Website beveiliging bestaat uit een pakket aan maatregelen die op verschillende onderdelen te nemen zijn:
- CMS beveiliging: CMS-systemen worden continu verder ontwikkeld om zo goed mogelijk beveiligd te zijn tegen aanvallen van buitenaf. Zorg ervoor dat je geen enkele veiligheid-update mist.
- Kies de juiste provider: Een goede provider werkt met moderne beveiligingssoftware en zal domein- en website eigenaren altijd informeren als er toch (mogelijke) bedreigingen zijn geconstateerd.
- Werk met sterke wachtwoorden en wissel regelmatig van wachtwoord.
- Maak regelmatig back-ups. Wanneer er dan toch iets mis gaat, is de site eenvoudiger te herstellen.
- Voldoe aan de privacy regelgeving: de overheid probeert bezoekers van websites te beschermen met privacywetgeving. Als website-eigenaar is het verplicht aan deze regeling te voldoen.
- Laat anti-malwaresoftware installeren.
- Laat beveiliging instaleren op reactie- en betaalpagina’s.
- Zorg voor SSL-certificering: voor kwaadwillende zijn http-verbindingen een eenvoudige toegang om informatie te stelen. Via een http-verbinding is informatie die verstuurd wordt via een contactformulier, een bestelling of aanmelding voor een nieuwsbrief eenvoudig te onderscheppen en te misbruiken.
- Een goed beveiligde website en SEOZoekmachines doen hun werk niet goed wanneer ze online bezoekers naar onbeveiligde websites zouden leiden. Het hebben van een veilige website maakt dan ook onderdeel uit van technische SEO-optimalisatie.
Website goed beveiligd en toch gehackt?
Helaas gebeurt het dagelijks dat grote en kleine websites ondanks beveiligingsmaatregelen toch worden gehackt. Meestal splitsen hacks zich op in twee scenario’s. In één variant zijn hackeraanvallen gericht tegen websites van bekende bedrijven, organisaties of persoonlijkheden met als doel een statement te maken, afpersing of aandacht te vragen voor een eigen doel. Maar meestal worden er geen specifieke website uitgezocht, maar laten criminelen eenvoudig hun programma’s lopen. Bij deze variant wordt de aanval volledig automatisch uitgevoerd door tools die het internet scannen op onbeveiligde websites. De website wordt vervolgens gebruikt voor phishing doeleinden, het verzenden van spam, het installeren van malware op de website of voor DDOS- of BruteForce-aanvallen op andere websites.
Wat kun je doen wanneer een gehackte website te herstellen?
Maak een back-up, maar overschrijf de vorige back-ups van je nog gezonde website daarbij niet! Nadat de back-up is gemaakt, moet de website offline worden gehaald, zodat de schadelijke code zich niet verder kan verspreiden. Om uit te sluiten dat kwaadaardige code zich niet verspreidt naar de eigen computer moet het systeem worden gecontroleerd. Gebruik hiervoor een up-to-date virusscanner en gebruik daarnaast anti-malware software.
Vervolgens is het zaak wachtwoorden te wijzigen. Dit geldt voor alle wachtwoorden die toegang verlenen tot de database of een contentmanagementsysteem. Met behulp van de logbestanden en de wijzigingsgegevens van de bestanden kun je proberen te achterhalen waar de aanval vandaan kwam, en hoe de hackers toegang tot het systeem hebben gekregen. Ongeacht of het zoeken naar de oorzaak succesvol is of niet, de volgende stap is het verwijderen van alle bestanden. Ten slotte moet de website opnieuw worden geüpload met hopelijk een bestaande back-up van voor de hack.
Wil je meer weten over een website beveiligen? De beveiliging van je website optimaliseren? Is je website gehackt en ben je opzoek naar hulp en oplossingen? Neem dan contact met ons op.