Checklist: zo houd je jouw website veilig
Hacks en ransomware zijn tegenwoordig aan de orde van de dag. ‘Klik niet op onbetrouwbare e-mails’ is vaak het devies. Maar criminele hackers kunnen ook op andere manieren binnenkomen. Bijvoorbeeld via jouw website als je hem niet goed genoeg beschermt. Dan gebruiken ze jouw website en webhosting voor ongure praktijken. 9 checks waarmee jij je website veilig houdt.
Geen zin om te lezen? Simon van Mijndomein geeft je de 9 checks in 1 minuut.
“Hacken gebeurt mij toch niet”
“Ach nee joh, mijn website is zo klein, die is niet interessant genoeg voor hackers”. Tja, was het maar waar. Criminelen gebruiken ook kleine websites die makkelijk te hacken zijn. Bijvoorbeeld om hun criminele activiteiten op te hosten. Dan draait er plotseling een illegale website bovenop jouw website.
Wat je ook vaak ziet, is dat kleine websites worden gebruikt voor DDos-aanvallen. Want al die kleine webhostingpakketjes samen hebben een enorme slagkracht om Bunq, ABN-Amro of 9292 plat te leggen. Ook de bezoekers van jouw website kunnen last krijgen van jouw gehackte website: om nog meer slagkracht te krijgen, plaatsen hackers malware op jouw website. Je bezoekers vullen iets in op je website en zijn zo ook besmet. Dat willen we natuurlijk voorkomen.
Check 1: goede hosting
Waar draait jouw website? Heb je webhosting, dan is het belangrijk dat de partij bij wie je dat afneemt betrouwbaar en veilig is. Want jouw website staat op hun servers dus je bent daar best wel afhankelijk van. Verzorgen wij jouw webhosting, weet dan dat veiligheid en betrouwbaarheid bij ons hoog in het vaandel staan. We kunnen niet specifiek ingaan op hoe we onze servers precies beschermen, omdat hackers het dan vaak als een uitdaging zien om daar langs te komen.
Wel kan ik vertellen dat we slimme technieken inzetten om de overlast van een aanval tot een minimum te beperken. En we houden ook jouw website veilig voor je websitebezoeker door bijvoorbeeld DNSSEC en SSL in ons vernieuwde webhostingpakket. Ook handig: de auto-installer voor bijvoorbeeld Joomla! of WordPress in ons vernieuwde webhostingpakket. Belangrijke beveiligingsopties staan niet automatisch aan bij een handmatige installatie, maar wel met de automatische installatie via Mijn account.
Check 2: een CMS kiezen
De meeste mensen met een website gebruiken een Content Management Systeem (CMS) zoals WordPress of Joomla! om hun website te beheren. Dat is handig, maar controleer wel of het CMS dat jij kiest veilig genoeg is. Veiligheidsexpert Jan Martijn Broekhof zegt daarover in zijn blog over hoe je een veilig CMS selecteert: “Wanneer ze open source zijn, er een grote community aan werkt en er regelmatig updates uitgebracht worden, dan is de kans op kwetsbaarheden relatief laag”.
Check 3: inloggen
Wachtwoorden als ‘wachtwoord123’ of ‘welkom456’ kunnen echt niet meer. Hoe we een goed wachtwoord maken, weten we inmiddels wel. (toch?) Dat was de makkelijkste. Maar had je ook al hieraan gedacht?
- Je gebruikersnaam. ADMIN is het standaard wachtwoord dat vaak gebruikt wordt. Wil een hacker jouw website binnenkomen, begint hij daar. Een beetje zonde dat je dan meteen een deel van je inloggegevens hebt weggegeven. Bedenk daarom altijd een goede gebruikersnaam.
- Als je daarnaast meteen de voordeur minder makkelijk vindbaar maakt, dus de link naar je inlogpagina, dan maak je het hackers helemaal moeilijk. WordPress gebruikt standaard jouwdomeinnaam.nl/wp-admin. Met handige plugins zoals WPS Hide Login kan je deze url aanpassen.
- Hoe vaak mag je proberen in te loggen zonder consequenties? Zet een extra slot op je deur door het aantal inlogpogingen te beperken. Een computer die gewoon alle wachtwoorden probeert, komt dan niet meer binnen. Een WordPressplugin die daar handig voor is: Limit Login Attempts Reloaded.
- Nog beter en veiliger is tweestapsverificatie (Two Factor Authentication of 2FA) te gebruiken. Je CMS vraagt dan naast een gebruikersnaam en wachtwoord een extra authenticatie. Die krijg je bijvoorbeeld via je smartphone binnen. Dat kan in WordPress eenvoudig met een plugin zoals Google Authenticator.
Het belangrijkste aan inloggen is dat je niet voorspelbaar bent en het hackers niet te makkelijk maakt. En nog een gratis tip: gebruik een wachtwoordmanager. Moet lukken dan, toch?
Check 4: update je website
De techniek verandert en hackers worden steeds slimmer. Die bedenken nieuwe manieren om je website te infiltreren en CMS-aanbieders spelen daar op in. Ze brengen regelmatig updates uit om jouw website zo veilig mogelijk te houden. Update je niet, dan is jouw website kwetsbaar voor aanvallen.
Je website niet updaten is helaas een van de grootste oorzaken van gehackte websites. Dus ons devies is: altijd updaten als je CMS-aanbieder een update stuurt. En vergeet daarbij niet andere onderdelen die aan je website hangen, zoals thema’s en plugins. Heb je trouwens Websitemaker bij Mijndomein, dan hoef jij niets te doen en houden wij jouw website veilig.
Check 5: je eigen internet en computer
Jij maakt en beheert je website op een computer die aangesloten is op internet. Dat kan thuis zijn of op je werk. Zorg er altijd voor dat je wifi goed beveiligd is en dat er geen virussen op je computer zitten. Werk met goede virusscanners en malwaredetectie. Schakel bijvoorbeeld Windows Defender in als je een Windows-systeem hebt. Lees hier meer tips over de beveiliging van je apparaten.
Check 6: houd je formulieren veilig
Zet je je e-mailadres op je website, dan kunnen hackers die eenvoudig vinden en gebruiken. Slimmer is het om formulieren te plaatsen. Zorg er dan wel voor dat die goed ingesteld zijn. Criminele hackers proberen soms via deze weg achter gegevens van je bezoekers komen. Ook gebruiken ze formulieren die niet veilig zijn voor spamactiviteiten. Installeer in ieder geval een reCAPTCHA om die spammers buiten de deur te houden.
Check 7: maak regelmatig back-ups
Dit is vooral een zekerheid voor als er een keer iets mis gaat met je website, maar even belangrijk als de tips waarmee je hacks voorkomt. Maak back-ups van je website. Je bent dan nooit je complete website kwijt, maar kunt een iets oudere versie terugplaatsen. Op onze helpdesk leggen we uit hoe je dat doet. Heb je Websitemaker? Die maakt automatisch back-ups. Je kunt ze bij ons opvragen als er iets mis gaat met je website.
Check 8: de grote schoonmaak
Hoe langer je een website hebt, hoe meer je opbouwt. Maar dat vergroot ook de kans dat iets gehackt kan worden. Controleer regelmatig of je alles nog nodig hebt en verwijder wat je kwijt kunt. Dat is niet alleen veiliger, maar maakt je website ook sneller. Een paar onderdelen om te checken:
- Heb je alle plugins en thema’s nog nodig? Verwijder wat je niet meer gebruikt.
- De gebruikers van je CMS, hebben die allemaal nog toegang nodig? En kloppen hun rollen nog?
- Heb je nog oude versies van je website op je hostingplatform staan en zijn die nog nodig? Veel websitebeheerders vergeten oude versies, maar juist die zijn een slimme manier voor hackers om binnen te komen.
Het is ook goed om je website tijdens zo’n schoonmaak te scannen op malware en ransomware. Heb je WordPress, dan kan je ook dat doen met goede plugins. Heb je Websitemaker, dan is het niet nodig om je website op te schonen.
Check 9: WHOIS bij domeinregistratie
Deze check is eigenlijk niet helemaal om je website veilig te houden, maar heeft er wel mee te maken. Registreer je een domeinnaam om je website te maken, dan kan het zijn dat jouw gegevens openbaar online komen te staan in de WHOIS. Dat is de plek waar alle registraties van alle domeinextensies staan. Je website, e-mailadres, naam en telefoonnummer zijn hier vaak dus zo voor het oprapen.
Gelukkig zijn veel gegevens sinds de invoering van de nieuwe privacywet AVG afgeschermd. Maar let op: landenextensies hebben soms andere regels. Zo zie je bij een .nl-domeinnaam nog steeds het e-mailadres in de WHOIS staan en bij bedrijven de bedrijfsnaam. Bekijk hier wat de regels per landenextensie zijn.
WordPress website veilig met plugins
In deze blog schrijf ik best veel over WordPress, omdat dit een van de meest gebruikte CMS-systemen is. Heb je een ander CMS, dan gelden de checks ook voor jou. Het kan wel zijn dat plugins en thema’s net anders heten.
Over plugins gesproken, daar verwijs ik ook regelmatig naar. Maar welke plugins kan je nu het beste gebruiken om je website veilig te houden? Vraag je dat aan onze technische mensen, dan steekt iThemes er met kop en schouder bovenuit. De gratis versie verhoogt de veiligheid van je website al aanzienlijk.
Ben je niet tevreden met iThemes en gebruik je liever andere plugins, kijk dan bij WordPress zelf welke opties er nog meer zijn. Let bij het kiezen van een goede plugin onder meer op:
- wat de plugin biedt
- aantal sterren
- aantal installaties
- datum laatst bijgewerkt (updates!)
- wat je op Google vindt over de plugin
Waarschijnlijk kom je plugins tegen als Wordfence, Akismet en Jetpack. Het is aan jou om te kiezen welke WordPress plugin je gebruikt.
Let op: Mijndomein zorgt voor een veilige hosting van websites van klanten, niet voor wat ze daarop zetten. Iedereen is zelf verantwoordelijk voor het kiezen van CMS’en, plugins, thema’s etc.
Meer techniek waarmee jouw website veilig is
Dit waren de belangrijkste checks waarmee jij je website veilig houdt. Nu zijn er nog extra technische zaken waar je in kunt duiken, zoals file permissions, .htacces-bestand en het versienummer van WordPress. Kom je hier niet uit? Je webbouwer wel. Als het goed is, heeft hij of zij dat al goed ingesteld. Onze technische mensen staan ook voor je klaar als je vragen hebt. Houd jij je daarnaast aan de checks, dan kom je al een heel eind. Succes!
