Hoe kan ik mijn website beveiligen?

Het beveiligen van eigendommen is een noodzakelijk kwaad. Dat geldt zeker als er waardevolle zaken te halen zijn. Bij een website is dat niet anders. Hiermee kan zelfs jouw identiteit gestolen worden.

Zwakke plekken

Bij het bekijken van de beveiliging kunnen we als eerste kijken naar de zwakke plekken. Deze zwakke plekken concentreren zich rondom 3 gebieden: de servers, de software en de gebruikers. De beveiliging van de server is meestal een zorg van het hostingbedrijf waarbij je jouw internetruimte huurt. Zij zijn verantwoordelijk voor de veiligheid en daarmee is dat ook meteen een onderdeel van hun product. De besturingssoftware en de internetomgeving hoort tevens tot dit server product en hier heb je als huurder geen invloed op, op één onderdeel na: de beveiligde verbinding. Deze SSL-verbinding (het ‘slotje’ in de browserbalk) is niet altijd in het product meegenomen en is dus iets dat je er zelf bij moet huren.

Waar je ook invloed op hebt is de software die je voor jouw website gebruikt. Dat is het CMS (Content Management Systeem) en de bijbehorende hulpmiddelen. In mijn geval dus WordPress met zijn thema’s en plugins. Deze software kies je zelf en installeer je ook zelf. Zoals met alle software zitten hier ook fouten in die zwakke plekken veroorzaken. En er wordt ook wel een software gemaakt waar doelbewust een achterdeurtje in zit om op die manier bij een website naar binnen te kunnen.

De derde (en grootste) zwakke plek vind je bij de gebruiker zelf. Denk hierbij aan de zorg voor wachtwoorden en de discipline voor zorgvuldig werken. In verreweg de meeste gevallen is een beveiligingslek op een website terug te voeren op menselijk falen.

Welke fouten worden er gemaakt?

De normale beveiliging van de toegang tot het beheergedeelte van de website bestaat uit een gebruikersnaam en wachtwoord. Ieder CMS kent hierbij een standaard gebruikersnaam. Voor WordPress is dat bijvoorbeeld ‘admin’. Een veel gemaakte fout is om deze naam niet te veranderen. Met het moderne hackersgereedschap kun je een wachtwoord van 8 tekens in enkele uurtje gekraakt krijgen. Een te kort wachtwoord is dus echt een grote fout. Lees nog maar eens mijn blog over wachtwoorden.

Software bevat per definitie fouten. Of deze fouten ook leiden tot een inbraak is maar de vraag, maar fouten die gevonden worden moeten wel worden hersteld. In een vorig blog heb ik de noodzaak van updates al eens beschreven. Het verwaarlozen van updates, waardoor beveiligingsleks blijven bestaan, is dus een grote fout. Verwant aan dit onderwerp is de mate waarin je de software die je gebruikt ook kunt vertrouwen. Als je een plugin installeert, zorg dan dat je weet wie de makers zijn en of deze een goede reputatie hebben. En zorg ervoor dat je de software bij een vertrouwde bron ophaalt. WordPress heeft een eigen verzameling met duizenden plugins en thema’s. Deze worden gecontroleerd en beoordeeld. Zo’n bron is goed. Het downloaden van een plugin op een illegale website ‘omdat het dan gratis is’, is vragen om moeilijkheden omdat deze plugins meestal zijn voorzien van een achterdeurtje. Foute boel dus.

Wat kun je zelf doen om het veiliger te maken?

  1. Allereerst, preventief, zorg voor een goed systeem van backups. Vertrouw niet op de backup van de hostingprovider, want die is hier niet voor gemaakt. Zorg dat je jouw software goed veilig stelt en zorg ook dat je voor langere tijd de backups bewaart.
  2. Zorg voor goede wachtwoorden en een afwijkende gebruikersnaam. Een goed wachtwoord is uniek en bestaat uit 12 tekens of meer.
  3. Zorg voor het uitvoeren van updates. Als je denkt dat dit moeilijk is, zorg dan voor een goed onderhoudscontract. Maar zorg dat de updates worden verwerkt.
  4. Gebruik zo min mogelijk software. Bedenk voordat je een plugin installeert of je dit echt nodig hebt. En als een plugin niet meer nodig is, ruim deze dan op.
  5. Zorg voor een goede hostingpartij en een beveiligde verbinding. Jij kunt het niet veranderen als jouw host niet zorgvuldig met zijn product omgaat, maar je kunt wel een overstap maken naar een hostingpartij die wel een goede naam heeft. Ook een SSL-certificaat kun je zelf verzorgen zodat de verbinding met de website in ieder geval beschermd is.

Welke hulpmiddelen kunnen mij nog meer helpen?

Met de bovenstaande punten dek je al een groot deel van de beveiliging af. Toch zijn er nog wat hulpmiddelen die ervoor zorgen dat jouw website minder te leiden heeft.

Net als de beveiliging op jouw computer met behulp van antivirussoftware, kun je ook je website beveiligen met een Web Application Firewall (WAF). Met deze software kun je al het verkeer van en naar de website laten controleren en wordt ook het proces van updates in de gaten gehouden. Een WAF komt er in diverse smaken en diverse prijsklassen. Meestal krijg je op deze manier een abonnement op een scala van hulpmiddelen met als gevolg dat je veel tijd moet steken in het beheren van deze beveiliging. Grote internet dienstverleners nemen dit product vaak in hun onderhoudscontract mee, omdat dat voor hen meer zekerheid biedt.

Een vele simpelere manier om effectief de toegang te beveiligen is een hulpmiddel dat ervoor zorgt dat een inbreker niet onbeperkt wachtwoorden kan uitproberen. Bij een dergelijk hulpmiddel kun je instellen dat de gebruiker na 3 pogingen even 20 minuten moet wachten op een volgende poging. Gaat het dan nog 2 keer fout, dan mag hij 12 uur niet meer inloggen. Een dergelijke manier is effectief voor de gelegenheids-hacker. Omdat de controle op het aantal pogingen wordt gedaan aan de hand van het ip-adres van de gebruiker, maakt een ‘professionele’ hacker gebruik van een VPN verbinding waarmee hij snel van ip-adres kan wisselen. Dus, dit hulpmiddel kan toch nooit zonder een heel goed wachtwoord. Wel zorgt het er voor dat de website minder belast wordt. Een voorbeeld van een plugin die dit verzorgd is WPS Limit Login.

Een laatste hulpmiddel dat ik wil benoemen is bijzonder. Met dit hulpmiddel kun je de pagina die je moet gebruiken om op de website te kunnen inloggen, verstoppen. Vergelijk dit maar met jouw huis waar je de deur verbergt. Knap lastig voor een inbreker als hij niet kan zien wáár hij moet inbreken. Het verstoppen van de inlogpagina kan natuurlijk niet in alle gevallen, bijvoorbeeld als klanten of leden ook moeten kunnen inloggen. Maar in die gevallen waarin die niet hoeft, is deze werkwijze erg effectief. Een plugin die dit keurig verzorgd is WPS Hide Login.

Logboek

Voor alle websites die ik beheer maak ik gebruik van een plugin waarmee ik de activiteiten op en rond deze websites vastleg. Een activiteitenlogboek. De activiteiten worden hierin voor een bepaalde periode vastgelegd, zodat je een beeld krijgt wat er gebeurt. Hierdoor krijg je bijvoorbeeld ook inzicht in inbraakpogingen. Als ik zie dat een website wel erg vaak onder vuur komt te liggen en er pieken ontstaan van honderden pogingen per uur, dan zet ik de beveiligingshulpmiddelen in. Want ook hierbij geldt het uitgangspunt dat je alleen software installeert dat je ook echt nodig hebt. Wil je meer weten over de beveiliging of heb je er hulp bij nodig, neem gerust contact met me op.