Jouw website beter beveiligen

In2adminBlog

Voor de meeste websitebezitters is de beveiliging van de website niet een prioriteit. Pas als je erachter komt dat je website is gehackt, besef je dat het ook jou kan overkomen. Vaak is het een goede kennis of familie van je die je laat weten dat er wel hele rare teksten op jouw website staan.
Het beveiligen van jouw website, doe je om dezelfde reden als het beveiligen van je woning. Je wilt niet dat iemand spullen van je steelt en je wil niet dat iemand schade toebrengt aan jouw spullen. Wij, de naïevelingen, gaan ons huis pas extra beveiligen als blijkt dat er in onze buurt steeds vaker wordt ingebroken. Laat me je dit vertellen, in de buurt waar jouw website “woont” wordt regelmatig ingebroken. Sterker nog, bijna dagelijks wordt er geprobeerd of de “voordeur” van jouw website op slot zit. Extra aandacht voor het “hang en sluitwerk” van jouw website is daarom geen overbodige luxe.
Aan de hand van de stappen in dit artikel zorg je ervoor dat jouw website beter is bestand tegen inbrekers en cyber-aanvallen.

Maak regelmatig een backup!

Een backup? Maar die maakt mijn webhosting provider toch?
Is dat zo?
Weet je ook hoe je zo’n backup kunt (laten) terugzetten en hoe lang het dan duurt voordat je website weer online is?
Voor jouw website (zowel WordPress als Joomla) zijn gratis plugins te installeren waarmee je zelf een backup van jouw website kunt maken, die je vervolgens zelf op een veilige plek kunt opbergen. Indien je jouw website door In2ideas of Innevolution hebt laten bouwen, dan hebben wij bij de installatie meteen ook een backup-programma geïnstalleerd.

Maak dus regelmatig een backup. Wordt je website gehackt of gaat er, om wat voor reden, iets mis dan kun je vaak binnen een uur je website weer “up and running” hebben.

 

Zorg dat alle updates zijn geïnstalleerd

Software wordt gemaakt door mensen. Daarmee is de software net zo goed als degene die de software heeft gemaakt. Mensen maken fouten en dus ook in software zitten vaak fouten. Grote fouten komen al aan het licht tijdens uitgebreide tests, maar de kleine en venijnige foutjes komen meestal pas later aan het licht. Soms per toeval, maar vaak door het speurwerk van experts die steeds op zoek zijn naar foutjes en beveiligingslekken in de software. Deze experts zijn er in 2 soorten, de Good Guys en de Bad Guys. Zodra bekend wordt dat er een beveiligingsprobleem is ontdekt, zal de maker van de software vaak binnen 24 uur met een oplossing komen die het lek weer dicht. Zo’n oplossing zien we in het dashboard van onze website dan terug als update.

Zodra bekend wordt dat er in een stukje software een beveiligingslek zit, zijn er kwaadwillenden die met behulp van software het internet afstruinen opzoek naar kwetsbare websites. Eenmaal zo’n website gevonden, is het afhankelijk van de omvang van het beveiligingslek wat de kwaadwillende met jouw website kan doen.

Dit voorkom je door regelmatig te controleren of er nieuwe updates beschikbaar zijn. Je kunt ook een plugin installeren die jou een bericht stuurt als er nieuwe updates beschikbaar zijn voor jouw website. In de volgende paragraaf meer hierover.
Er zijn ook plugins die kunnen detecteren als er een update voor jouw website beschikbaar is en dan automatisch voor jou de updates uitvoeren. Dat lijkt op het eerste gezicht een goed plan, echter, in sommige gevallen kan het uitvoeren van een update ervoor zorgen dat je website niet meer naar behoren werkt. Als je dan niet eerst een backup hebt gemaakt, kan dat ernstige gevolgen hebben. Daarom adviseer ik om eerst handmatig een backup te maken en daarna handmatig de nodige updates uit te voeren.

 

Verwijder thema’s en plugins die niet meer worden gebruikt

Soms heb je een plugin geïnstalleerd die toch niet deed wat je ervan had gehoopt. Sommige plugins worden al een tijdje niet meer onderhouden. Hierdoor kan het voorkomen dat er een beveiligingslek is aangetroffen, maar dat er geen update komt omdat de plugin niet meer wordt onderhouden. De-activeer dergelijke plugins en verwijder ze. Doe dit ook voor thema’s die je niet gebruikt.

 

Gebruik geen gebruikersnamen als admin of administrator

Systemen als WordPress, Joomla en Drupal, etc. hadden van oudsher 1 standaard- gebruiker die beheerrechten had binnen het systeem. Meestal met de naam admin of administrator. Maak een eigen gebruikersnaam met wachtwoord en de-activeer het administrator account.
Beide namen zijn de meest gebruikte namen waarmee hackers proberen in te breken.

 

Gebruik geen voor de hand liggende wachtwoorden

Het klinkt misschien origineel, een wachtwoord als P@ssw0rd of 1qaz2wsx, maar dat zijn ze al een poosje niet meer. Gebruik sterke, niet voor de hand liggende wachtwoorden. Hoe langer hoe beter en hoe diverser hoe beter. Er zijn websites waar je sterke wachtwoorden kun genereren, zoals http://passwordsgenerator.net/
Niet alleen voor jouw website is een sterk wachtwoord belangrijk. Ook voor de toegang tot het controle-paneel bij jouw provider is het van belang dat dit is voorzien van een sterk wachtwoord. Immers, heb je toegang tot dat controlepaneel dan heb je toegang tot alles. Jouw email, jouw website, database, adresgegevens, factuurgegevens, etc.

 

Voorzie je contactformulieren van ReCaptcha

Van wat? ReCaptcha is een techniek die door Google is ontwikkeld om te kunnen bepalen of degene die een formulier invult op jouw website niet een robot is, die jou probeert te overladen met spam. Het activeren van ReCaptcha doe je door eerst een App-ID aan te maken op de website van Google. Deze vul je in bij de instellingen van je contactformulier. Vervolgens kun je in het betreffende contactformulier op het vakje ReCaptcha klikken. Er zal dan automatisch een ReCaptcha blokje verschijnen.

 

 

Extra beveiligingssoftware installeren

Jouw website kan doelwit worden van een zogeheten “Brute Force Attack”. Bij zo’n aanval wordt er door een andere website/computer geprobeerd om in te loggen in jouw website. In rap tempo worden er gebruikersnamen en wachtwoorden gegenereerd, waarmee ze proberen de door jou gebruikte namen en wachtwoorden te achterhalen en daarmee in te loggen.

Net als je computer thuis kan ook jouw website zijn geïnfecteerd met een virus of met malware. Door zo’n virus kan jouw website schade oplopen, maar ook de bezoekers van jouw website.

wordfence-securityOm je tegen aanvallen en besmettingen van buitenaf te beschermen, zijn er plugins te verkrijgen die kunnen detecteren als je wordt aangevallen of als geprobeerd wordt om jouw website te infecteren.
Zo is er voor WordPress de plugin WordFence.
Deze software beschermt je niet alleen tegen aanvallen en infecties, maar waarschuwt je ook als er updates beschikbaar zijn. Tevens rapporteert de plugin je over hoe vaak er is geprobeerd om in te breken in jouw website, hoe vaak er is geprobeerd om jouw website te infecteren. Kortom een plugin die het kwaadwillende een stukje lastiger maakt.