De beveiliging van uw website Waarom is beveiliging noodzakelijk en hoe doet u dat?

Waarom criminelen geïnteresseerd zijn in uw website

Veel mensen denken dat alleen websites waar bank- of creditcardgegevens te halen zijn, interessant zijn voor criminelen. Dat is waar, maar zelfs al verkoopt u niets, dan nog is uw website heel interessant voor criminelen. Het is dus van belang dat de beveiliging van uw website goed op orde is.
Bovendien bent u sinds najaar 2018, toen de EU Online Privacywet voor alle websites verplicht werd, zelfs wettelijk verplicht om te zorgen voor een goede beveiliging van uw website. Meer weten over deze wet? Klik hier.

Het slechte nieuws

Wekelijks zet Google ruim 70.000 websites op de zwarte lijst vanwege malware of phishing-activiteiten. Veel van die website-eigenaren zijn zich van geen kwaad bewust, maar hun websites zijn gehackt en worden door anderen misbruikt voor criminele online activiteiten. Ik neem aan dat u hoopt dat u dat nooit zal overkomen.
Dat is het verhaal van Google, maar er gebeuren nog veel meer dingen, waarbij niet de website zelf gebruikt wordt, maar bijvoorbeeld de e-mailadressen die van een website geplukt zijn. Omdat uw e-mailadres niet verdacht is, kan het gebruikt worden om spam te versturen met de bedoeling binnen te dringen op computers. Vervolgens kunnen die computers gebruikt worden voor een massale DDOS-Attack. Dat is een aanval op een website of server, waardoor deze geheel ontregeld raakt. U leest dat af en toe in de krant, maar nog vaker wordt het stil gehouden door bedrijven. De meeste computereigenaren hebben er geen weet van dat hun computer op deze manier wordt misbruikt.

Een andere veel voorkomende criminele activiteit is dat een (uw?) e-mailadres gebruikt wordt om bedelbrieven te versturen. “Uw geld is gestolen tijdens uw vakantie en nu heeft u geld nodig om thuis te kunnen komen.” U wilt niet weten hoeveel mensen op links klikken omdat zij bereid zijn u financieel uit de nood te helpen.
En heeft u wel eens bericht gekregen dat u een prijs gewonnen hebt bij een supermarkt of bol.com en u hoeft alleen maar op een link te klikken om de prijs in ontvangst te nemen? Wie wil dat niet, zomaar iets winnen? Mensen zijn hebberig, vooral als het gratis is, maar door op die link te klikken, laat u ten eerste weten dat het e-mailadres klopt en in veel gevallen opent u daarmee ook nog uw computer en uw adressenbestanden voor de zenders van deze mail.
Kortom beveiliging van zowel uw website als van uw computer is van ‘levensbelang’!!!

Het goede nieuws

Het goede nieuws is dat u de beveiliging van uw website (en ook van uw computer) voor het grootste deel zelf in de hand hebt.
Beveiliging van een website kent vele aspecten. Ook als leek kunt u heel veel zelf doen om uw website zo goed mogelijk te beveiligen. U hoeft geen programmeur te zijn om aan de basisvoorwaarden van een goede beveiliging te voldoen.

 

De beveiliging van uw website

 

De beveiliging

Voor een goede beveiliging is het allereerst noodzakelijk dat u gebruik maakt van goede en betrouwbare software, die op de juiste manier ingesteld is.
Een tweede zeer belangrijk punt is dat u updates van software en systemen meteen installeert. Updates worden namelijk gemaakt omdat er (nieuwe) zwakke plekken zijn ontstaan in de software. Vergeet niet dat er dagelijks nieuwe malware en virussen ontwikkeld worden door criminelen. Dat heeft als consequentie dat ook software voortdurend ge-update moet worden om de gebruiker te kunnen beschermen.
Veel handelingen die u dient te verrichten voor de beveiliging zijn eenmalig, zoals een sterk wachtwoord en inlognaam, het gebruik van https:// i.p.v. http:// en nog zo het een en ander.

Ik zal op deze pagina beschrijven wat u dient te doen om een veilige website te kunnen garanderen aan uw bezoekers. Ik benoem op deze pagina alleen die stappen, die iedereen kan uitvoeren.
Voor iemand met enige kennis van FTP en codes, zijn er nog een aantal zaken uit te voeren die de veiligheid sterk verhogen, maar dat voert hier te ver.

Een veilige website in 10 stappen

Stap 1. Kies voor een goede en betrouwbare host

Een goede provider zorgt voor een optimale bescherming van de server en de websites van de klanten, biedt gratis extra software aan, maakt het gebruik daarvan zo makkelijk mogelijk voor gebruikers en heeft bovendien een goede, makkelijk bereikbare en snelle helpdesk.
Ik heb de loop der jaren meerdere providers uitgeprobeerd, Nederlandse en Engelstalige providers. Ik was nooit helemaal tevreden. Vooral niet over de helpdesks en vaak was de snelheid van de website ook een probleem, tenzij ik een heel duur abonnement zou nemen.
Sinds 2014 maak ik tot volle tevredenheid gebruik van Siteground. Deze provider staat wereldwijd in de top 3 en wordt eveneens door veel internationaal bekende IT-grootheden gebruikt en aanbevolen. Siteground heeft een zeer goede, efficiënte en klantvriendelijke helpdesk, die binnen 5 minuten reageert en in no-time weet op te lossen waar ik soms al uren mee bezig was. Bovendien heeft Siteground veiligheid hoog in het vaandel en krijgen abonnementhouders de beschikking over software die de snelheid van de website aanzienlijk doet toenemen. Software, waar je anders al gauw €50 per jaar voor kwijt bent.
En zeker niet onbelangrijk, Siteground is niet duur. Zeer aan te bevelen dus! Het enige nadeel kan zijn dat de voertaal Engels is.

Stap 2. Verander uw URL van http:// in https://

In officiële termen heet dit SSL. Dit zorgt ervoor dat de connectie tussen uw webserver en de browser van uw bezoekers omgezet wordt in onleesbare codes, waardoor het onleesbaar is voor derden. Dat is van belang want zelfs als er kwaadaardige software op computers staat, dan nog is alle informatie op uw website onleesbaar.
Iedere goede provider maakt dit gratis mogelijk voor alle gebruikers en als u een nieuwe account aanmaakt, dan gebeurt dit zelfs automatisch.
Google heeft overigens al aangekondigd in de toekomst websites met http:// niet meer te zullen tonen omdat ze uitermate onveilig zijn. Dus ook wat dat betreft is het van belang dit te veranderen.

Stap 3. Zorg voor een sterk wachtwoord

Het is belangrijk dat uw website een wachtwoord heeft dat door niemand en ook niet door spamrobots geraden kan worden.
De meeste hacks van websites vinden plaats omdat hackers de wachtwoorden raden. U moet dan niet denken dat er een mannetje achter een computer zit die van alles uitprobeert, want ook hackers zijn meegegroeid met hun tijd en ze gebruiken hier robots voor, die in een paar seconden tijd duizenden mogelijkheden uitproberen op basis van gegevens die bij elkaar gevist zijn. Het schijnt dat voor computers bijvoorbeeld het meest gebruikte wachtwoord nog steeds ‘1234’ is. Wat echt dom te noemen is in de huidige tijd.
Maak dus een sterk wachtwoord aan. Gebruik een combinatie van willekeurige hoofdletters, kleine letters, leestekens en cijfers. Hoe langer het wachtwoord is, hoe veiliger. Gebruik minimaal 10 tekens voor een wachtwoord.
Nadeel van dit soort onmogelijke wachtwoorden is dat u het niet kunt onthouden, maar dat hoeft ook niet. Ik raad u ten sterkste aan om LastPass te gebruiken. Er is zowel een gratis versie als een betaalde versie. In LastPass kunt u alle wachtwoorden opslaan, maar bijvoorbeeld ook sociale mediagegevens, bankgegevens en wat nog meer van belang is om goed beveiligd te worden.
In alle browsers kunt u een LastPass app installeren, zodat u het altijd makkelijk toegankelijk is. Bovendien kunt u er (bijvoorbeeld bij ziekte) voor kiezen om deze gegevens toegankelijk te maken voor een vertrouwenspersoon.
Het goede van dit programma is dat u nog maar 1 wachtwoord hoeft te onthouden. Het is belangrijk dat u dit wachtwoord wel weet te onthouden, want als u het vergeet, heeft u een probleem. Uw wachtwoord en gegevens zijn namelijk niet op te vragen bij LastPass omdat alles – dus ook het wachtwoord – gecodeerd wordt en alleen maar door het invoeren van uw eigen ongecodeerde wachtwoord leesbaar wordt. Dus zelfs als de mensen van LastPass u zouden willen helpen, ze kunnen het niet.

Stap 4. Houd altijd alle updates bij!

Als u niet zo vaak inlogt op uw website, dan heeft u helemaal niet in de gaten dat er updates zijn. Daar is een eenvoudige oplossing voor. Er is een (gratis) programma, die e-mails stuurt wanneer er updates zijn. Dat programma is eigenlijk bedoeld voor websitebouwers, maar daar vragen ze niet naar. U kunt 10 website-adressen gratis invoeren. Heel handig, doen dus, dan kunt u nooit meer een update vergeten. Het programma is van IThemes en u kunt het hier vinden: https://ithemes.com/sync/

Stap 5. Beperk de toegang tot uw WordPress admin

Zorg ervoor dat u als enige toegang hebt tot de dashboard van WordPress. Zijn er meerdere mensen die stukken schrijven of illustraties plaatsen op uw website, ken hen dan de rol van auteur toe, waarmee hun bevoegdheden beperkt blijven tot wat zij daadwerkelijk doen. Op die manier heeft niemand toegang tot uw software of database en kan daar dus niets in veranderd worden, niet per ongeluk, maar ook niet met opzet,
Maakt u tijdelijk gebruik van een programmeur, dan moet hij/zij wel als beheerder in uw website kunnen werken, maar dan kunt u als het werk klaar is, de wachtwoorden veranderen en de programmeur als gebruiker verwijderen.
Heeft u een beheerder voor uw website, zorg dan dat u alleen maar werkt met mensen die u kent en kunt vertrouwen.

 

Stap 6. Installeer goede veiligheidssoftware

Er zijn een paar hele goede programma’s. In de meeste gevallen is voor een eenvoudige website de gratis versie van deze programma’s voldoende. Zelf gebruik ik al jaren tot volle tevredenheid voor alle websites: IThemes Security. Zij staan er o.a. om bekend dat ze heel goed zijn in herkennen van zwakheden in plug-ins en WordPress software, het veranderen van bestanden en zwakke wachtwoorden. Er zijn nog meer opties die ingesteld kunnen worden, zoals bijvoorbeeld het voorkomen van Brute Force Attacks (=DDoS Attacks). Bovendien is het mogelijk om de ‘Away Mode’ in te stellen om op die manier je WordPress dashboard voor iedereen buiten werking te stellen. Als u bijvoorbeeld nauwelijks nieuwe pagina’s of blogberichten aanmaakt of bestanden toevoegt, dan is dit een goede methode om uw website veilig te stellen voor welke poging tot verandering dan ook.

Een andere goed programma, waarvan de gratis versie voldoende is voor kleine websites, is Wordfence. Dit heeft ook een spamfilter, dus dan heeft u Akismet niet meer nodig dat standaard geïnstalleerd wordt in WordPress.

Stap 7. Gebruik CAPTCHA

Met CAPTCHA voorkomt u dat spamrobots contactformulieren, reacties en discussieformulieren kunnen gebruiken om binnen te dringen in uw website.
Selecteer onder Plugins ‘Nieuwe plugin’ en typ CAPTCHA in bij ‘Zoeken’. Dan krijgt u meerdere Captcha-plug-ins te zien. Let op het aantal gebruikers en let op de datum van de laatste update en of het gebruikt kan worden in uw versie van WordPress. Klik op ‘Installeren’ en klik vervolgens op ‘Activeren’.
Ga dan naar de CAPTCHA-instellingen en selecteer waar u de CAPTCHA wilt laten verschijnen. Vergeet niet de veranderingen te bewaren.

Stap 8. Gebruik een E-mail Encoder

Installeer ‘Email Address Encoder’. Deze software beschermt alle e-mailadressen die u hebt geplaatst op een pagina of blogbericht in WordPress. De gratis versie biedt voldoende bescherming voor de meeste websites.
Heeft u ook elders nog e-mailadressen opgenomen, bijvoorbeeld in het menu, de header of de footer van uw website, dan heeft u de betaalde versie nodig. Die kost maar $14 per jaar, dus de kosten zijn te overzien.
U kunt met de gratis software zelfs telefoonnummers beschermen door een html code toe te voegen voor en na het telefoonnummer.

Stap 9: Installeer alléén die plug-ins die u daadwerkelijk gebruikt

Heeft u inactieve plug-ins op uw website, verwijder ze dan. Heeft u ze later opnieuw nodig, dan zijn ze in een mum van tijd opnieuw te installeren.
Vergeet niet dat alle software die u toevoegt aan WordPress een extra veiligheidsrisico betekent. Dus hoe minder risico, hoe beter.

Stap 10. Back-up, back-up, back-up!!!

Maak geregeld back-ups en bewaar deze buiten uw server! U kunt de back-ups downloaden en bewaren op een externe harddisk die u alleen maar gebruikt voor back-ups. Of u slaat het op in een cloudserver zoals bijvoorbeeld Dropbox of Jottacloud.
Uw provider maakt ook back-ups, desalniettemin is het heel belangrijk dat u back-ups buiten uw server bewaart. Mocht uw website ooit gehackt worden, dan is de kans namelijk groot dat ook uw back-ups op de server hierdoor aangetast zijn. Bovendien kan ook een server gehackt worden of een andere storing hebben.
Ik raad u aan om minimaal wekelijks een back-up te maken van uw database en 1 x per maand van uw website. Dan kunt u alles (laten) herstellen als dat nodig is.
U kunt dit natuurlijk allemaal handmatig doen en dan raad ik u de gratis plug-in Duplicator aan, want die is het meest simpel in gebruik en u kunt de bestanden daarna downloaden.
Maar eigenlijk raad ik u dit af, want dan moet u er iedere keer zelf aan denken, het is veel prettiger om alles automatisch uit te laten voeren en ook automatisch op te laten slaan zonder dat u ergens aan hoeft te denken.
Voor WordPress is er de plug-in VaultPress, die tegenwoordig hoort bij Jetpack. Dat is niet gratis, het kost $39 per jaar, maar dan is het gewoon geregeld en veilig en volledig geautomatiseerd. Het programma maakt dagelijks back-ups en bewaart de back-ups van de laatste 30 dagen op hun eigen server. Het terugplaatsen van een back-up is een fluitje van een cent, selecteren en klikken. Bovendien kunt u de back-ups ook nog downloaden en elders bewaren.

 

Beveiliging van uw WordPress website door Hilde Salverda van Kunst & Marketing

 

Vindt u dit allemaal te ingewikkeld of kost het u teveel tijd? Laat dan de beveiliging van uw website door mij uitvoeren.
Meer weten? Klik hier.

 

Deel dit FacebooktwitterlinkedinmailFacebooktwitterlinkedinmail