“I love you”, “creeper” en “code red”, het zijn allemaal namen van bekende virussen die de afgelopen jaren miljoenen computers hebben platgelegd, met alle vervelende gevolgen van dien. Anno 2015 zijn computers en netwerken minder het doelwit, maar worden steeds meer websites-, social media- en email accounts gehackt om vervolgens misbruikt te worden. Zo worden creditcardgegevens gestolen en gebruikt bij frauduleuze transacties, wordt er ongewenste reclame geplaatst op websites en houdt zelfs een organisatie als ISIS zich bezig met het platleggen van web platformen.
Beveiliging
De Wet Bescherming Persoonsgegevens zegt dat wanneer een eigenaar van een website of webwinkel de gebruiker verplicht om persoonsgegevens af te geven (zoals een wachtwoord en creditcard gegevens), hij beveiligingsmaatregelen moet treffen die een passend beveiligingsniveau kunnen garanderen. Een aantal tips die het beveiligingsniveau van een web platform significant verhogen:
- Preventief bij de bouw
Vaak zien wij in bestaande websites veel ‘open deuren’, zoals fouten in de instellingen van een server of in de code van een web platform en/of database. Onze tips:
- Laat de hoster een check doen of poorten en automatische scripts automatisch open staan;
- Check zelf of er fouten zijn. Er zijn verschillende websites die het mogelijk maken te kijken of er fouten zitten in de code van jouw website, zoals ScanMyServer, Norton en Siteadvisor.
- Zorg voor de juiste plugins. Voor Content Management Systemen zijn er verschillende plugins die enerzijds een site kunnen scannen op fouten en/of veiligheidslekken en anderzijds preventief zaken kunnen dichten. Voorbeelden van dit soort plugins zijn: iThemes en Sucuri.
- Werk met een goede developer die zaken als SQL-injecties (de meest gebruikte aanval voor databases) grotendeels kan voorkomen door het aanleggen van een simpele beveiligingsring.
- HTTPS
In een vorige blog schreven wij over de voordelen van het gebruik van HTTPS certificaten voor webwinkels. Uiteraard gelden deze voordelen voor alle soorten web platformen. Zeker gezien het feit dat Google de veiligheid van zoekresultaten tegenwoordig als belangrijke factor ziet in de ranking van die zoekresultaten. Het wordt steeds gemakkelijker en goedkoper om dergelijke certificaten te implementeren, wat zorgt voor een significante toename van de veiligheid van web platformen. Kijk voor meer informatie op de website van Hoasted.
- Wachtwoorden
Te vaak nog komen wij wachtwoorden tegen die enerzijds te simpel zijn en anderzijds al lang in gebruik zijn. Een goed wachtwoord heeft minimaal een hoofdletter, een cijfer en een speciaal teken. Net als banken, is het voor web platformen gemakkelijk om een script te installeren dat de gebruiker verplicht om binnen een redelijke tijdsinterval (bijvoorbeeld 2 maanden) een nieuw wachtwoord te kiezen. Een makkelijke tool voor het maken van een goed wachtwoord is SSP.
- Updaten / Scannen
De meeste web platformen maken gebruik van een Content Management Systeem, zoals WordPress. Na de oplevering van een project worden het systeem en de bijbehorende additionele software modules vaak niet meer ge-update. Naast het feit dat systemen en modules hierdoor uiteindelijk minder goed kunnen gaan werken met nieuwe browserversies, worden ze ook zeer kwetsbaar voor cyberaanvallen. De meeste websites worden gehackt, terwijl het makkelijk te voorkomen was geweest. Tegenwoordig zijn er verschillende goede tools beschikbaar die websites automatisch en regelmatig updaten, zoals InfiniteWP en ManageWP. Tools als Pingdom houden bovendien in de gaten of websites nog bereikbaar zijn of wellicht uit de lucht zijn gehaald door een kwaadaardige code. Een tool als Google Webmastertools kan de website constant monitoren of de code nog veilig en stabiel is.
- Backups
Hosters zijn het verplicht, maar het draaien van een regelmatige en correcte back-up gebeurt helaas vaker niet dan wel. De afgelopen tijd zijn wij meerdere malen gestuit op gehackte sites, waarbij er geen back-up bestond van bijvoorbeeld de dag ervoor. Aangezien het terugzetten van een recente back-up het euvel snel kan oplossen, is het zaak om niet alleen een degelijk back-up systeem in werking te stellen, maar ook om vaak te controleren of het systeem nog zijn werk doet. Voor Content Management Systemen als WordPress zijn perfecte plugins beschikbaar, zoals BackupBuddy en WPtoDropbox. Veel hostingpakketten gebruiken bovendien beheermodules zoals CPanel, Directadmin en Parallels die een dergelijke functie standaard hebben ingebouwd.