zo houd je jouw website veilig. 10 Tips

website hosting

Hacks en ransomware zijn tegenwoordig aan de orde van de dag. ‘Klik niet op onbetrouwbare e-mails’ is vaak het devies. Maar criminele hackers kunnen ook op andere manieren binnenkomen. Bijvoorbeeld via jouw website als je hem niet goed genoeg beschermt. Dan gebruiken ze jouw website en webhosting voor ongure praktijken. 9 checks waarmee jij je website veilig houdt.

“Hacken gebeurt mij toch niet”

“Ach nee joh, mijn website is zo klein, die is niet interessant genoeg voor hackers”. Tja, was het maar waar. Criminelen gebruiken ook kleine websites die makkelijk te hacken zijn. Bijvoorbeeld om hun criminele activiteiten op te hosten. Dan draait er plotseling een illegale website bovenop jouw website.

Wat je ook vaak ziet, is dat kleine websites worden gebruikt voor DDos-aanvallen. Want al die kleine webhostingpakketjes samen hebben een enorme slagkracht om Bunq, ABN-Amro of 9292 plat te leggen. Ook de bezoekers van jouw website kunnen last krijgen van jouw gehackte website: om nog meer slagkracht te krijgen, plaatsen hackers malware op jouw website. Je bezoekers vullen iets in op je website en zijn zo ook besmet. Dat willen we natuurlijk voorkomen.

1: goede hosting

Waar draait jouw website? Heb je webhosting, dan is het belangrijk dat de partij bij wie je dat afneemt betrouwbaar en veilig is. Want jouw website staat op hun servers dus je bent daar best wel afhankelijk van. Idealsoftware.nl is gehost bij Mijndomein.nl. Van mij Mijndomein weten we dat enerzijds veiligheid en betrouwbaarheid hoog in het vaandel staan en anderszijds omdat de prijsstelling ons wel aanstaat.

Wel kan ik vertellen dat we zelf ook slimme technieken inzetten om de overlast van een aanval tot een minimum te beperken. Bijvoorbeeld door DNSSEC en SSL in het vernieuwde webhostingpakket.

2: een CMS kiezen

De meeste mensen met een website gebruiken een Content Management Systeem (CMS) zoals WordPress of Joomla! om hun website te beheren. Dat is handig, maar controleer wel of het CMS dat jij kiest veilig genoeg is. Veiligheidsexpert Jan Martijn Broekhof zegt daarover in zijn blog over hoe je een veilig CMS selecteert: “Wanneer ze open source zijn, er een grote community aan werkt en er regelmatig updates uitgebracht worden, dan is de kans op kwetsbaarheden relatief laag”.

3: inloggen

Wachtwoorden als ‘wachtwoord123’ of ‘welkom456’ kunnen echt niet meer. Hoe we een goed wachtwoord maken, weten we inmiddels wel. (toch?) Dat was de makkelijkste. Maar had je ook al hieraan gedacht?

Je gebruikersnaam. ADMIN is het standaard wachtwoord dat vaak gebruikt wordt. Wil een hacker jouw website binnenkomen, begint hij daar. Een beetje zonde dat je dan meteen een deel van je inloggegevens hebt weggegeven. Bedenk daarom altijd een goede gebruikersnaam.
Als je daarnaast meteen de voordeur minder makkelijk vindbaar maakt, dus de link naar je inlogpagina, dan maak je het hackers helemaal moeilijk. WordPress gebruikt standaard jouwdomeinnaam.nl/wp-admin. Met handige plugins zoals WPS Hide Login kan je deze url aanpassen.
Hoe vaak mag je proberen in te loggen zonder consequenties? Zet een extra slot op je deur door het aantal inlogpogingen te beperken. Een computer die gewoon alle wachtwoorden probeert, komt dan niet meer binnen. Een WordPressplugin die daar handig voor is: Limit Login Attempts Reloaded.
Nog beter en veiliger is tweestapsverificatie (Two Factor Authentication of 2FA) te gebruiken. Je CMS vraagt dan naast een gebruikersnaam en wachtwoord een extra authenticatie. Die krijg je bijvoorbeeld via je smartphone binnen. Dat kan in WordPress eenvoudig met een plugin zoals Google Authenticator.
Het belangrijkste aan inloggen is dat je niet voorspelbaar bent en het hackers niet te makkelijk maakt. Moet lukken, toch?

4: update je website

De techniek verandert en hackers worden steeds slimmer. Die bedenken nieuwe manieren om je website te infiltreren en CMS-aanbieders spelen daar op in. Ze brengen regelmatig updates uit om jouw website zo veilig mogelijk te houden. Update je niet, dan is jouw website kwetsbaar voor aanvallen.

Je website niet updaten is helaas een van de grootste oorzaken van gehackte websites. Dus ons devies is: altijd updaten als je CMS-aanbieder een update stuurt. En vergeet daarbij niet andere onderdelen die aan je website hangen, zoals thema’s en plugins. Heb je trouwens Websitemaker bij Mijndomein, dan hoef jij niets te doen en houden wij jouw website veilig.

5: je eigen internet en computer

Jij maakt en beheert je website op een computer die aangesloten is op internet. Dat kan thuis zijn of op je werk. Zorg er altijd voor dat je wifi goed beveiligd is en dat er geen virussen op je computer zitten. Werk met goede virusscanners en malwaredetectie. Schakel bijvoorbeeld Windows Defender in als je een Windows-systeem hebt.

6: houd je formulieren veilig

Formulieren op je website zijn een belangrijke manier van criminele hackers om binnen te komen. Een bezoeker vult er contactgegevens in en die zijn waardevol voor kwaadwillenden. Ook gebruiken ze formulieren die niet veilig zijn voor spamactiviteiten. Installeer in ieder geval een reCAPTCHA om die spammers buiten de deur te houden.

7: maak regelmatig back-ups

Dit is vooral een zekerheid voor als er een keer iets mis gaat met je website, maar even belangrijk als de tips waarmee je hacks voorkomt. Maak back-ups van je website. Je bent dan nooit je complete website kwijt, maar kunt een iets oudere versie terugplaatsen. Op onze helpdesk leggen we uit hoe je dat doet. Heb je Websitemaker? Die maakt automatisch back-ups. Je kunt ze bij ons opvragen als er iets mis gaat met je website.

8: de grote schoonmaak

Hoe meer plugins en thema’s je hebt, hoe groter de kans dat je website via een van die elementen gehackt kan worden. Controleer regelmatig of je alles nog nodig hebt en verwijder wat je kwijt kan. Dat is niet alleen veiliger, maar maakt je website ook sneller. Controleer daarnaast ook of alle gebruikers die toegang hebben tot jouw WordPress website nog steeds de juiste rollen hebben.

Het is ook goed om je website tijdens zo’n schoonmaak te scannen op malware en ransomware. Heb je WordPress, dan kan je ook dat doen met goede plugins.

9: WHOIS bij domeinregistratie

Deze check is eigenlijk niet helemaal om je website veilig te houden, maar heeft er wel mee te maken. Registreer je een domeinnaam om je website te maken, dan kan het zijn dat jouw gegevens openbaar online komen te staan in de WHOIS. Dat is de plek waar alle registraties van alle domeinextensies staan. Je website, e-mailadres, naam en telefoonnummer zijn hier vaak dus zo voor het oprapen.

Gelukkig valt het mee als je .nl aanschaft, dan is bij privépersonen alleen het e-mailadres zichtbaar. Steeds meer domeinextensies kijken naar de privacy van hun klanten en het einde van de publieke WHOIS lijkt in zicht. Tot die tijd kan je bij ons voor sommige domeinextensies wel een privacypakket aanschaffen.

WordPress veilig met plugins

In deze blog schrijf ik best veel over WordPress, omdat dit het meest gebruikte CMS-systeem is. Heb je een ander CMS, dan gelden de checks ook voor jou. Het kan wel zijn dat plugins en thema’s net anders heten. Over plugins gesproken, daar verwijs ik ook regelmatig naar. Maar welke plugins kan je nu het beste gebruiken om je website veilig te houden? Vraag je dat aan ons dan steekt iThemes er met kop en schouder bovenuit.

Ben je niet tevreden met iThemes en gebruik je liever andere plugins, kijk dan bij WordPress zelf welke opties er nog meer zijn. Waarschijnlijk kom je dan plugins tegen als Wordfence, Akismet en Jetpack. Het is aan jou om te kiezen welke WordPress plugin je gebruikt. Zelf hebben we gebruik van de plugin van Securi.

Let bij het kiezen van een goede plugin onder meer op:

  • wat de plugin biedt,
  • aantal sterren,
  • aantal installaties,
  • datum laatst bijgewerkt (updates!)
  • wat je op Google vindt over de plugin,

Let op: Mijndomein zorgt wel voor een veilige hosting van websites van klanten, maar niet voor wat we daarop zetten. We zijn zelf verantwoordelijk voor het kiezen van CMS’en, plugins, thema’s etc.

Meer techniek waarmee jouw website veilig is

Dit waren de belangrijkste checks waarmee jij je website veilig houdt. Nu zijn er nog extra technische zaken waar je in kunt duiken, zoals file permissions, .htacces-bestand en het versienummer van WordPress. Kom je hier niet uit? Je webbouwer wel. Als het goed is, heeft hij of zij dat al goed ingesteld. Houd jij je daarnaast aan de checks, dan kom je al een heel eind. Succes!

We hebben het hier steeds gehad over MijnDomein omdat onze websites daar gehost zijn maar er zijn er natuurlijk meer. Klik hier voor een recent overzicht van de bekendste hostingproviders

 

Bron: Mijndomein.nl door Tabitha 19-01-2018

 

Lees ook:

Tips voor het repareren van een gehackte wordpress website ( Website Securi )

Leave a Reply

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam tegen te houden. Lees hier hoe jouw gegevens verwerkt worden.