Checklist: zo houd je jouw website veilig

Tabitha 19 januari 2018

Hacks en ransomware zijn tegenwoordig aan de orde van de dag. ‘Klik niet op onbetrouwbare e-mails’ is vaak het devies. Maar criminele hackers kunnen ook op andere manieren binnenkomen. Bijvoorbeeld via jouw website als je hem niet goed genoeg beschermt. Dan gebruiken ze jouw website en webhosting voor ongure praktijken. 9 checks waarmee jij je website veilig houdt.

“Hacken gebeurt mij toch niet”

“Ach nee joh, mijn website is zo klein, die is niet interessant genoeg voor hackers”. Tja, was het maar waar. Criminelen gebruiken ook kleine websites die makkelijk te hacken zijn. Bijvoorbeeld  om hun criminele activiteiten op te hosten. Dan draait er plotseling een illegale website bovenop jouw website.

Wat je ook vaak ziet, is dat kleine websites worden gebruikt voor DDos-aanvallen. Want al die kleine webhostingpakketjes samen hebben een enorme slagkracht om Bunq, ABN-Amro of 9292 plat te leggen. Ook de bezoekers van jouw website kunnen last krijgen van jouw gehackte website: om nog meer slagkracht te krijgen, plaatsen hackers malware op jouw website. Je bezoekers vullen iets in op je website en zijn zo ook besmet. Dat willen we natuurlijk voorkomen.

Check 1: goede hosting

Waar draait jouw website? Heb je webhosting, dan is het belangrijk dat de partij bij wie je dat afneemt betrouwbaar en veilig is. Want jouw website staat op hun servers dus je bent daar best wel afhankelijk van. Verzorgen wij jouw webhosting, weet dan dat veiligheid en betrouwbaarheid bij ons hoog in het vaandel staan. We kunnen niet specifiek ingaan op hoe we onze servers precies beschermen, omdat hackers het dan vaak als een uitdaging zien om daar langs te komen.

Wel kan ik vertellen dat we slimme technieken inzetten om de overlast van een aanval tot een minimum te beperken. En we houden ook jouw website veilig voor je websitebezoeker door bijvoorbeeld DNSSEC en SSL in ons vernieuwde webhostingpakket. Ook handig: de auto-installer voor bijvoorbeeld Joomla! of WordPress in ons vernieuwde webhostingpakket. Belangrijke beveiligingsopties staan niet automatisch aan bij een handmatige installatie, maar wel met de automatische installatie via Mijn account.

Check 2: een CMS kiezen

De meeste mensen met een website gebruiken een Content Management Systeem (CMS) zoals WordPress of Joomla! om hun website te beheren. Dat is handig, maar controleer wel of het CMS dat jij kiest veilig genoeg is. Veiligheidsexpert Jan Martijn Broekhof zegt daarover in zijn blog over hoe je een veilig CMS selecteert: “Wanneer ze open source zijn, er een grote community aan werkt en er regelmatig updates uitgebracht worden, dan is de kans op kwetsbaarheden relatief laag”.

Check 3: inloggen

Wachtwoorden als ‘wachtwoord123’ of ‘welkom456’ kunnen echt niet meer. Hoe we een goed wachtwoord maken, weten we inmiddels wel. (toch?) Dat was de makkelijkste. Maar had je ook al hieraan gedacht?

  1. Je gebruikersnaam. ADMIN is het standaard wachtwoord dat vaak gebruikt wordt. Wil een hacker jouw website binnenkomen, begint hij daar. Een beetje zonde dat je dan meteen een deel van je inloggegevens hebt weggegeven. Bedenk daarom altijd een goede gebruikersnaam.
  2. Als je daarnaast meteen de voordeur minder makkelijk vindbaar maakt, dus de link naar je inlogpagina, dan maak je het hackers helemaal moeilijk. WordPress gebruikt standaard jouwdomeinnaam.nl/wp-admin. Met handige plugins zoals WPS Hide Login kan je deze url aanpassen.
  3. Hoe vaak mag je proberen in te loggen zonder consequenties? Zet een extra slot op je deur door het aantal inlogpogingen te beperken. Een computer die gewoon alle wachtwoorden probeert, komt dan niet meer binnen. Een WordPressplugin die daar handig voor is: Limit Login Attempts Reloaded.
  4. Nog beter en veiliger is tweestapsverificatie (Two Factor Authentication of 2FA) te gebruiken. Je CMS vraagt dan naast een gebruikersnaam en wachtwoord een extra authenticatie. Die krijg je bijvoorbeeld via je smartphone binnen. Dat kan in WordPress eenvoudig met een plugin zoals Google Authenticator.

Het belangrijkste aan inloggen is dat je niet voorspelbaar bent en het hackers niet te makkelijk maakt. Moet lukken, toch?

Check 4: update je website

De techniek verandert en hackers worden steeds slimmer. Die bedenken nieuwe manieren om je website te infiltreren en CMS-aanbieders spelen daar op in. Ze brengen regelmatig updates uit om jouw website zo veilig mogelijk te houden. Update je niet, dan is jouw website kwetsbaar voor aanvallen.

Je website niet updaten is helaas een van de grootste oorzaken van gehackte websites. Dus ons devies is: altijd updaten als je CMS-aanbieder een update stuurt. En vergeet daarbij niet andere onderdelen die aan je website hangen, zoals thema’s en plugins. Heb je trouwens Websitemaker bij Mijndomein, dan hoef jij niets te doen en houden wij jouw website veilig.

Check 5: je eigen internet en computer

Jij maakt en beheert je website op een computer die aangesloten is op internet. Dat kan thuis zijn of op je werk. Zorg er altijd voor dat je wifi goed beveiligd is en dat er geen virussen op je computer zitten. Werk met goede virusscanners en malwaredetectie. Schakel bijvoorbeeld Windows Defender in als je een Windows-systeem hebt.

Check 6: houd je formulieren veilig

Zet je je e-mailadres op je website, dan kunnen hackers die eenvoudig vinden en gebruiken. Slimmer is het om formulieren te plaatsen. Zorg er dan wel voor dat die goed ingesteld zijn. Criminele hackers proberen soms via deze weg achter gegevens van je bezoekers komen. Ook gebruiken ze formulieren die niet veilig zijn voor spamactiviteiten. Installeer in ieder geval een reCAPTCHA om die spammers buiten de deur te houden.

Check 7: maak regelmatig back-ups

Dit is vooral een zekerheid voor als er een keer iets mis gaat met je website, maar even belangrijk als de tips waarmee je hacks voorkomt. Maak back-ups van je website. Je bent dan nooit je complete website kwijt, maar kunt een iets oudere versie terugplaatsen. Op onze helpdesk leggen we uit hoe je dat doet. Heb je Websitemaker? Die maakt automatisch back-ups. Je kunt ze bij ons opvragen als er iets mis gaat met je website.

Check 8: de grote schoonmaak

Hoe meer plugins en thema’s je hebt, hoe groter de kans dat je website via een van die elementen gehackt kan worden. Controleer regelmatig of je alles nog nodig hebt en verwijder wat je kwijt kan. Dat is niet alleen veiliger, maar maakt je website ook sneller. Controleer daarnaast ook of alle gebruikers die toegang hebben tot jouw WordPress website nog steeds de juiste rollen hebben.

Het is ook goed om je website tijdens zo’n schoonmaak te scannen op malware en ransomware. Heb je WordPress, dan kan je ook dat doen met goede plugins. Heb je Websitemaker, dan is het niet nodig om je website op te schonen.

Check 9: WHOIS bij domeinregistratie

Deze check is eigenlijk niet helemaal om je website veilig te houden, maar heeft er wel mee te maken. Registreer je een domeinnaam om je website te maken, dan kan het zijn dat jouw gegevens openbaar online komen te staan in de WHOIS. Dat is de plek waar alle registraties van alle domeinextensies staan. Je website, e-mailadres, naam en telefoonnummer zijn hier vaak dus zo voor het oprapen.

Gelukkig valt het mee als je .nl aanschaft, dan is bij privépersonen alleen het e-mailadres zichtbaar. Steeds meer domeinextensies kijken naar de privacy van hun klanten en het einde van de publieke WHOIS lijkt in zicht. Tot die tijd kan je bij ons voor sommige domeinextensies wel een privacypakket aanschaffen.

WordPress veilig met plugins

In deze blog schrijf ik best veel over WordPress, omdat dit een van de meest gebruikte CMS-systemen is. Heb je een ander CMS, dan gelden de checks ook voor jou. Het kan wel zijn dat plugins en thema’s net anders heten. Over plugins gesproken, daar verwijs ik ook regelmatig naar. Maar welke plugins kan je nu het beste gebruiken om je website veilig te houden? Vraag je dat aan onze technische mensen, dan steekt iThemes er met kop en schouder bovenuit. De gratis versie verhoogt de veiligheid van je website al aanzienlijk.

Ben je niet tevreden met iThemes en gebruik je liever andere plugins, kijk dan bij WordPress zelf welke opties er nog meer zijn. Let bij het kiezen van een goede plugin onder meer op:

  1. wat de plugin biedt
  2. aantal sterren
  3. aantal installaties
  4. datum laatst bijgewerkt (updates!)
  5. wat je op Google vindt over de plugin

Waarschijnlijk kom je plugins tegen als Wordfence, Akismet en Jetpack. Het is aan jou om te kiezen welke WordPress plugin je gebruikt.

Let op: Mijndomein zorgt voor een veilige hosting van websites van klanten, niet voor wat ze daarop zetten. Iedereen is zelf verantwoordelijk voor het kiezen van CMS’en, plugins, thema’s etc.

Meer techniek waarmee jouw website veilig is

Dit waren de belangrijkste checks waarmee jij je website veilig houdt. Nu zijn er nog extra technische zaken waar je in kunt duiken, zoals file permissions, .htacces-bestand en het versienummer van WordPress. Kom je hier niet uit? Je webbouwer wel. Als het goed is, heeft hij of zij dat al goed ingesteld. Onze technische mensen staan ook voor je klaar als je vragen hebt. Houd jij je daarnaast aan de checks, dan kom je al een heel eind. Succes!




Tabitha

Tabitha is Content Manager bij Mijndomein. Ze neemt je mee in de wereld van domeinnamen, webhosting en websites maken. Tabitha is kookgek, verslindt series en zit bij de lokale televisie en radio.

13
Reageer op dit artikel

avatar
6 Comment threads
7 Thread replies
4 Followers
 
Most reacted comment
Hottest comment thread
6 Comment authors
GertieTabithaHanJan GeenenHans Jansen Recent comment authors
  Subscribe  
Abonneren op
RUUB
Gast

‘We kunnen niet specifiek ingaan op hoe we onze servers precies beschermen, omdat hackers het dan vaak als een uitdaging zien om daar langs te komen.’
Security through obscurity is natuurlijk geen goede veiligheidsmethode 😉

Jan Geenen
Gast

Gratis SSL bij Mijndomein:

geldt dit ook voor bestaande website?

Hans Jansen
Gast

Ik gebruik nu nog FrontPage voor het bouwen en onderhouden van mijn website. Maar FrontPage krijgt geen updates meer.
Vraag is: kan ik die upgraden naar een taal die wel wordt onderhouden? Dit zonder alles weer opnieuw te moeten bouwen?

Han
Gast
Han

Jammer dat je wel veel over WordPress zegt en nauwelijks iets over Joomla! Terwijl Joomla! minstens zo veel gebruikt wordt en al jaren hoger scoort.
Zie: https://www.cmscritic.com/awards/

Han
Gast
Han

Wat vind je van het gebruik van email-cloaking? Is dat veilig?

Gertie
Gast

Mijn website bouwer maakt geen websites meer. Hem kan ik niets meer vragen Mijn site is WordPress site, Ik hou hem zelf bij, voor wat het voor door kan gaan natuurlijk. Dat lukt mij wel aardig. Ik heb wel hulp nodig om mijn site te beveiligen. Ineens stond er Wordfence op mijn site. sindsdien ben ik het spoor bijster. Hoe komt die erop?? En ik kreeg melding van een websitebezoeker van mij, dat er viagra werd aangeboden. Als ik dat controleer zie ik niets , printscreen van haar laat duidelijk Viagra zien.. Maar goed > volgens mijn moeder ben ik… Lees verder »



Uitgelicht