EEN IT EXPERT NODIG VOOR JE ZAAK OF WEBSITE?

5 stappen naar een veilige website

28/03/2021

v

0

Geschreven door: jurgen

Dit keer zullen we het hebben over de beveiliging van je website. Je kan sommige delen van deze informatie echter ook gebruiken als je geen website hebt, want bepaalde aspecten zijn ook van toepassing voor informaticamiddelen zoals routers (wie heeft er geen thuis?), switches, domotica, …. .

Als je website een bron van inkomen is voor jou is het toch belangrijk dat hij goed beveiligd is zodat je klanten er terecht kunnen en niet wegsurfen naar de concurrentie.

STAP 1:  Standaard accounts en paswoorden:

Paswoord op post it

Van toepassing voor je website, maar zeker ook voor alle andere apparaten. Het gebruik van standaard gebruikers en paswoorden IS NIET OK. Twee dingen die je zeker moet doen:

 

  • Hernoem de administrator/admin/root account van je apparaat of backend van je website. Want hackers en malafiden laten hun tools los op je website of andere infrastructuur die bereikbaar is vanop het internet en proberen in te breken met de standaard admin accounts. Als je de keuze krijgt voor de naam of login bij het aanmaken van een account met administratieve rechten op je website (of apparaat) gebruik dan NOOIT wat standaard voorgesteld wordt. Is het al te laat? Maak,indien mogelijk, achteraf een account aan met een andere gebruikersnaam of login en verwijder het standaard admin account of schakel het uit.

  • Verander het standaard paswoord naar een complex paswoord. Mocht je de stap hiervoor al uitgevoerd hebben en je laat het standaard paswoord staan, dan is de kans nog zeer groot dat er ingebroken wordt op je apparatuur of website. Voor het aanmaken van een complex wachtwoord kan je gebruik maken van de paswoordzin of een paswoordgenerator. Hieronder meer hierover.

STAP 2: Paswoordkluizen & Multifactor:

2 factor logon

Een artikel over de voordelen van het gebruik van unieke paswoorden en paswoordkluizen gekoppeld aan een voorbeeld uit de realiteit kan u ook hier terugvinden. Maar ik herneem toch enkele zaken hier.

  • Complexe en unieke paswoorden: zoals eerder reeds gemeld is het belangrijk om complexe wachtwoorden te gebruiken. In de blogpost hierboven vermeld staat ook in detail uitgelegd waarom unieke paswoorden een must zijn. Kort samengevat, als bij de site of applicatie, waarin u uw uniek paswoord gebruikt ingebroken wordt en de paswoorddatabank wordt gestolen heeft de dief slechts uw paswoord om in te loggen op die locatie. Hij kan met deze data nergens anders aan de slag.
  • Natuurlijk is het niet evident (lees onmogelijk) om al die wachtwoorden te onthouden. Daarom is een paswoordkluis handig, u kan er niet alleen uw paswoorden opslaan en makkelijk terug uithalen wanneer u ze nodig heeft, maar deze toepassingen kunnen ook complexe (en dus unieke) paswoorden genereren voor u. Ikzelf gebruik nu al enige tijd de gratis versie van Bitwarden, voordien gebruikte ik LastPass maar dat veranderde de spelregels en bij gebruik op meerdere toestellen (laptop, smartphone, tablet, …) moet u sinds 16 maart 2021 betalen. Ik geef hierbij nog enkele namen van producten die u kan gebruiken: KeePass, Logmeonce, NordPass, …. Maar als u even zoekt op het internet vindt u er nog veel meer.
  • MFA of 2FA: Multi-Factor-Authentication of 2-Factor-Authentication: Het principe is dat er naast uw paswoord nog extra info nodig is om in te loggen op de website of toepassing. Een extra bescherming dus. Hierbij kan gebruik gemaakt worden van SMS (maar dat is af te raden) of met behulp van een App zoals Authy, Google Authenticator of Microsoft Authenticator. Zodra u dit activeert op de website of toepassing zal deze App of website moeten toegevoegd worden aan de MFA App. Meestal dien je een QR code te scannen. Persoonlijk gebruik ik de Authy App. Die zorgt ook voor een backup (mocht je device gestolen worden of verloren geraken). Dus mocht uw paswoord achterhaald worden kan men niet inloggen op de sites of toepassingen zonder de 2de code. U maakt het de hacker het leven al veel moeilijker op deze manier.

STAP 3: SSL en je (gratis) certificaat:

https

Je zal wel al gezien hebben dat de link van de meeste websites begint met https en je in je browserbalk een groen slotje ziet staan. Tenminste als alles goed geconfigureerd is. Hoe doe je dat?

  • Wat is het? SSL staat voor ‘Secure Socket Layer’, een vertrouwd certificaat dat je installeert op je website (bij je host) zorgt ervoor dat het verkeer tussen je website en de browser van de klant vercijferd wordt en dus privé blijft. Het mag duidelijk zijn dat dit zeer belangrijk is, bijvoorbeeld voor webshops waar online verkopen en financiële transacties een belangrijke rol spelen. Maar het is eveneens belangrijk voor je Google ranking (SEO). Meer info over Search Engine Optimization mag je verwachten in een andere blogpost.
  • Wat kost het? Reeds enkele jaren nu, kan je terecht bij Let’s Encrypt voor je gratis certificaat. Dus voor de prijs hoef je het al zeker niet te laten.
  • Ondanks het feit dat je een (geldig) SSL certificaat installeert kan het nog steeds zijn dat je geen groen slotje te zien krijgt, omwille van ‘mixed content’. De plug-in ‘Real Simple SSL’ kan dit oplossen voor jou of je kan het manueel doen via de plug-in ‘Better Search & Replace’. Je dient er dan voor te zorgen dat alle inhoud waarnaar verwezen wordt met http, vervangen wordt door https.

STAP4: Web Application Firewall:

firewall

Ondanks alle voorgaande stappen, zoals account, paswoord en multi-factor authenticatie moet je je site nog beschermen voor aanvallen van buitenaf. De tips & tricks hieronder dus.

 

  • Web Application Firewall: Zoals de naam het al zegt is het een firewall die de toegang tot je website afschermt. Voor WordPress bestaan er enkele plugins, ikzelf ben grote fan van Wordfence (de gratis versie). Via deze plugin kan je trouwens ook 2-factor authentication aanzetten voor verschillende soorten accounts. Je kan dit bijvoorbeeld aanzetten voor de administrators.
  • Een andere manier om je site af te schermen is gebruik te maken van een zogenaamde CDN (Content Delivery Network). Het eigenlijke gebruik van deze dienst had als doel om te dienen als proxyserver (caching) met als doel je site sneller te laden en ook het in de lucht houden van je website met behulp van deze cache. Maar sommigen leveren ook een Web Application Firewall en bescherming tegen andere aanvallen. Eén van de gratis CDN platformen, dat bovendien goed gekend is hiervoor, en die ik ook gebruik is Cloudflare.

STAP 5: BACKUPS, BACKUPS, BACKUPS!

Backup

Wat hebben backups met security te maken denkt u? ALLES! Want als alles verloren gaat, is het de enige manier om terug te keren naar het moment waarop de backup gemaakt werd.

Eergisteren, 31 maart, was het ‘World Backup Day’. Ik wilde dit niet zomaar laten voorbijgaan, maar ik wilde dit item ook voldoende aandacht geven. Vandaar last but not least, een goed backupplan is een absolute noodzaak. Indien u er geen heeft, zou u er best vandaag aan beginnen. Ik leg hieronder mijn aanpak even uit.

Voor alle duidelijkheid, backups maken kan voor iedereen van belang zijn. In functie van de belangrijkheid van de data. Dus mijn uiteenzetting geldt niet enkel voor websites.

  • Het algemeen principe bij backups is de 3-2-1 strategie. Dit wil zeggen 3 kopieën, waarvan 2 op verschillende media en de operationele kopie.
    Voor de websites in mijn beheer handel ik als volgt:
    • 1 online kopie = je website die online staat
    • 2 kopieën op verschillende media = 2 backups op verschillende plaatsen. 1 bij de hosting en 1 via een plugin
  • Voor wat betreft frequentie raad ik volgend principe aan:
    • Statische website: 1x per dag. Minder wijzigingen, dus 1x per dag volstaat
    • Webshop of veel wijzigingen per dag: 1x per uur. Op deze manier verlies je in het slechtse geval 1u aan data.
  • Voor de WordPress websites bestaan verscheidene plugins om backups te maken van je website. Eén van de bekende plugins hiervoor is Updraft Plus Er bestaat een betalend en een gratis plan.

Dit vind je misschien ook interessant

Heb jij al een paswoordkluis?

Heb jij al een paswoordkluis?

Voor wie er nog geen heeft, of die niet weet wat een paswoordkluis is, blijf zeker verder lezen. Wat is een paswoordkluis? En heb ik dat nodig? Heb jij geen paswoordkluis? Dan gebruik je waarschijnlijk altijd hetzelfde paswoord, of enkele paswoorden om in te loggen op...

read more
Paswoorden zijn als ondergoed.

Paswoorden zijn als ondergoed.

Paswoorden zijn als ondergoed. Het had een artikel kunnen zijn over het prachtige ondergoed dat te koop is bij uw favoriete lingeriewinkel, maar aangezien ik informaticus ben en geen lingerieverkoper zullen we het over de paswoorden hebben, maar toch ook een beetje...

read more

0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *