Met het huidige aanbod aan webhosting, cloud VPS’en en CMS’en kan iedereen snel een gelikte website hebben staan. Maar naast dat uw website er mooi uit ziet is het natuurlijk belangrijk dat die ook goed beveiligd is. Om te voorkomen dat uw website het slachtoffer wordt van kwaadwillende personen, of om bezoekers te beschermen tegen malafide praktijken vanaf uw website, hebben wij enkele tips op een rijtje gezet voor een betere beveiliging.
De eerste stap naar een veilige website is het beschermen van uw server. Verbeter de veiligheid van uw server door te kijken naar het volgende:
Updates
De basis voor een goede beveiliging is een goed ingestelde webserver. Hiervoor is het van groot belang dat de server is voorzien van de laatste updates, zodat voortdurend gevonden zwakheden opgelost kunnen worden. Het is belangrijk om updates regelmatig uit te voeren.
Firewall
Een goede beveiliging begint met een goede firewall. Een firewall zorgt voor bescherming door het internet verkeer te filteren en te beslissen wat wel en niet door mag komen. De beste plek voor een webserver is áchter een firewall. Heeft u die niet, of is dat niet mogelijk bij uw hosting provider, kies dan voor een firewall óp de server. Zet in ieder geval de firewall zo dicht mogelijk. Fungeert uw server niet als inkomende mailserver, zet dan ook de poorten hiervoor dicht. De meeste webservers kunnen volstaan met inkomend http/https vanaf de hele wereld en ssh/ftp vanaf een enkel IP-adres (die van uzelf of uw webbouwer).
Services
Webservers kunnen heel veel, maar meestal zijn niet alle functionaliteiten voor u van toepassing. Functies die u toch niet gebruikt, kunt u uitschakelen. Mocht daar dan een lek in gevonden worden dan bent u in ieder geval niet kwetsbaar. U kunt ook de standaard instellingen waarmee deze services zijn opgebouwd, aanpassen naar waardes die meer geschikt zijn voor productie-omgevingen.
Webroots
Zorg voor gepaste toegangsrechten in de webroot, de map op de server waarin de feitelijke website staat. Heeft u meerdere websites op één server, zorg er dan voor dat elke website onder haar eigen gebruiker draait. Als dan één van uw websites slachtoffer wordt van een hack, dan is de kans kleiner dat de overige websites ook via de gehackte website besmet worden. Bovendien is het makkelijker om verdachte processen te identificeren als deze uitgevoerd worden door specifieke websitegebruikers.
Monitoring
Het is niet te voorkomen dat uw server aangevallen wordt. Daarom is het belangrijk om in ieder geval te zorgen dat verdacht gedrag zichtbaar is. Er zijn verschillende programma’s, zoals bijvoorbeeld Munin, Nagios, Newrelic en Zabbix, die snel inzicht kunnen geven in verandering van prestaties en het gebruik van processen. Zorg voor goede access logging, oftewel het bijhouden van alle aanvragen voor individuele bestanden op uw website. Zo kunt u achteraf terugkijken wat er gebeurd is op uw server. Een programma als bijvoorbeeld Atop kan helpen bij het vinden van processen die extra geheugen of CPU gebruikten tijdens de pieken in uw monitoringsgrafieken.
Security through Obscurity
Door security through obscurity beperkt u beveiligingsrisico’s door zo min mogelijk informatie over uw beveiliging vrij te geven. Het is dus belangrijk om ervoor te zorgen dat kwaadwillende personen niet teveel informatie kunnen vinden op uw server. Het is al erg genoeg dat derden kunnen zien dat het om bijvoorbeeld een Apache, Nginx of PHP webserver gaat, maar het is onnodig ook te laten zien welke specifieke versie het betreft.
Als eigenaar van een website is het uw verantwoordelijkheid bezoekers te beschermen. Verhoog de veiligheid voor uw bezoekers met de volgende punten:
Updates
Ook het CMS, ofwel het Content Management Systeem, dient regelmatig van updates te worden voorzien. Het CMS zorgt ervoor dat documenten en gegevens gemakkelijk online geplaatst kunnen worden en zorgt voor een dynamisch bruikbare website. Verreweg de meeste kwetsbaarheden die op het internet misbruikt worden, zitten in verouderde CMS’en. Sommige CMS’en, zoals WordPress, bieden de optie om de website automatisch van de laatste updates te voorzien. Wanneer dit mogelijk is, gebruik deze optie dan ook!
SSL
SSL versleutelt vertrouwelijke gegevens tussen de server en een internetbrowser. Het is dus van belang om uw website te beschermen met https en een SSL certificaat om de website security te verbeteren. Hiermee voorkomt u dat het dataverkeer tussen de bezoeker en de website onderschept en uitgelezen kan worden. Dit zal het vertrouwen van bezoekers in uw website vergroten.
Browser security headers
Deze headers vertellen de browser van uw websitebezoeker wat wel en niet verwacht mag worden op deze website. Er zijn vele http headers die bezoekers beschermen tegen onbedoelde activiteiten.
User cookies
Een user cookie kan veel informatie bevatten over de website bezoeker. Zo bevat deze vaak de loginnaam, een sessie ID en (hopelijk versleuteld) het wachtwoord. Met deze gegevens kunnen kwaadwillende personen de sessie onderscheppen, gegevens bemachtigen of de gebruiker met dit cookie naar een andere, malafide, website sturen (ook wel cookie hijacking genoemd). U kunt dit voorkomen door cookies altijd te versleutelen en door ervoor te zorgen dat de cookies alleen op deze ene specifieke website gebruikt mogen worden.
Uw website beveiliging altijd op orde!
De bovengenoemde maatregelen zorgen ervoor dat uw websitebeveiliging altijd op orde is en vele hiervan kunt u ook nog eens heel eenvoudig toepassen in een .htaccess bestand in de webroot van uw website. Daarnaast kunnen websites zoals ssllabs.com en internet.nl u helpen de pijnpunten in uw websitebeveiliging te vinden en op te lossen.
Mocht dit allemaal niet lukken dan kunnen wij van ROOT u helpen met een uitgebreide securityscan en het uitvoeren van alle benodigde security oplossingen. Neem hiervoor vrijblijvend contact met ons op!
Vond je deze blog interessant? Schrijf je hieronder in voor onze nieuwsbrief, en blijf regelmatig op de hoogte van onze blogs!
Meer informatie over dit onderwerp