Inleiding

Beveiliging hebt u nodig voor een veilige website en webshop. Als eigenaar of beheerder bent u verantwoordelijk voor werking, veiligheid, stabiliteit en naleving van wet- en regelgeving. Deze verantwoordelijkheid begint al bij de keuze van de developer en het hostingbedrijf. Aan de developer moet u duidelijke instructies geven en controleren of deze correct zijn verwerkt. Het hostingbedrijf moet aantonen dat het aan de door u gestelde eisen voldoet, en u moet kunnen nagaan of dit daadwerkelijk het geval is.

Deze blog is onderdeel van een serie. Voor een overzicht van de onderwerpen die in deze serie besproken worden verwijzen wij naar de blog Een veilige website/ webshop – Algemeen.

Beveiliging in de website

Een website/ webshop is meer dan een etalage: het is een plek waar klanten u persoonlijke gegevens, betaalinformatie en bestellingen toevertrouwen. Daarom is beveiliging één van de belangrijkste fundamenten van een professionele online website/ webshop. Zonder goede beveiliging loopt u risico’s zoals datalekken, fraude, misbruik van klantgegevens of zelfs volledige uitval van uw website. De gevolgen kunnen groot zijn: verlies van vertrouwen van uw klanten, juridische sancties onder de AVG en directe financiële schade.

Het doel van beveiligingsmaatregelen is tweeledig:

  1. Bescherming van de gegevens en privacy van uw klanten. Uw klanten moeten erop kunnen vertrouwen dat hun persoonsgegevens en betaalinformatie veilig bij u zijn opgeslagen en verwerkt wordt.
  2. Bescherming van u als ondernemer, door de website/ webshop te beveiligen tegen hackers, malware en misbruik. Hierdoor wordt voorkomen dat de continuïteit van de onderneming in gevaar komt.

Met de juiste beveiliging creëert u een betrouwbare omgeving waarin klanten met een gerust hart kunnen winkelen en waarin u als ondernemer voldoet aan wet- en regelgeving én uw reputatie beschermt.

De belangrijkste eisen die u in dit verband moet stellen aan de developer zijn:

TLS-certificaat

  1. Een TLS-certificaat (vroeger bekend als SSL-certificaat) zorgt voor drie belangrijke dingen. In de eerste plaats zorgt het voor versleuteling (encryptie). De gegevens die uw bezoeker verstuurt zijn dus niet leesbaar voor onbevoegden. Ten tweede bewijst het dat bezoekers verbinding maken met uw website en dat ze niet verbonden zijn met een nep-site die zich voordoet als uw website. Het bewijst niet dat uw website betrouwbaar is, want iedereen kan een certificaat aanvragen. Ten derde voorkomt het dat de verstuurde gegevens onderweg ongemerkt aangepast of gemanipuleerd worden.
  2. Het certificaat vraagt u aan, via uw hostingbedrijf. Uw developer moet uw site goed instellen.
  3. Hoe controleert u de correcte werking?
    • Uw URL begint met HTTPS:// en er staat een slotje voor.
    • Ga incognito naar uw website. Er verschijnt geen veiligheidswaarschuwing in uw browser.
    • Via ssllabs.com/ssltest kunt u controleren of uw TLS-certificaat geldig en sterk is. De beoordeling loopt van A+ (uitstekend) tot F (slecht). Een website moet minimaal beoordeling A halen, maar wij adviseren om te streven naar A+, omdat dat aangeeft dat u niet alleen veilig bent, maar zelfs extra veilig.

Lees ook onze blog: Help! Mijn HTTPS SSL slotje is niet groen.

Security plugins voor de beveiliging van uw website/ webshop

Een security plugin in WordPress zorgt voor extra bescherming van uw website en webshop tegen hackers, malware en andere bedreigingen. Ze vullen dus de basisbeveiliging van WordPress en het TLS-certificaat aan. Belangrijke functies zijn o.a.: bescherming tegen brute force-aanvallen, het beperken van het aantal inlogpogingen, het mogelijk maken van 2FA (twee-factor-authenticatie), het blokkeren van verdacht verkeer, het controleren op schadelijke code en verdachte bestanden, monitoring en logging (wie doet wat en wanneer) en ze blokkeren de toegang tot belangrijke systeembestanden.

Een security plugin werkt als een extra slot en alarmsysteem op uw website.

Vraag uw developer om e-mailmeldingen of Slack in te stellen voor waarschuwingen bij mislukte logins, als er veranderingen in files aangebracht worden en bij kritieke fouten.

Aanbevolen plugins zijn:

  1. Wordfence security. Heeft een firewall, malware scanning en 2FA.
  2. iThemes Security Pro. Is in de Pro versie een goed alternatief voor Wordfence.
  3. Dedicated 2FA plugins, zonder extra functies zijn WP 2FA, Two-factor en Secure 2FA.
  4. Hoe controleert u dit?
    • Vraag uw developer om u via het dasboard van de security plugin te laten zien dat de firewall ingeschakeld is en dat en een scanrapport beschikbaar is.
    • Check of het automatisch updaten van updates ingeschakeld is.

Inlogbeveiliging

Een website of webshop wordt vaak aangevallen via de loginpagina. Hackers proberen met zogenoemde Brute Force-aanvallen duizenden combinaties van gebruikersnamen en wachtwoorden totdat ze toegang krijgen. Zonder goede inlogbeveiliging is dat vaak makkelijker dan u denkt. Voorkom ongeoorloofde toegang. Een gehackt beheerdersaccount geeft een aanvaller volledige controle over uw website. Ze kunnen gegevens stelen, malware installeren of de site offline halen. Bescherm de gegevens van uw klanten zoals persoonsgegevens (AVG) en betaalinformatie. Leef de regels van de AVG/GDPR na.

Hoe controleert u dit?

  1. Log een paar keer bewust verkeerd in op uw website. Na een paar pogingen moet u tijdelijk geblokkeerd worden.
  2.  Logt u correct in al beheerder, dan moet 2FA u om een aanvullende code of handeling vragen.

Sterk wachtwoordbeleid

Een wachtwoord is vaak de eerste en belangrijkste verdedigingslinie om toegang te krijgen tot een website of webshop. Voor de beveiliging van uw website/ webshop en de veiligheid van de persoons- en betaalgegevens van uw klanten te waarborgen, is het wenselijk dat u een wachtwoordbeleid implementeert, gebaseerd op sterke wachtwoorden. Een sterk wachtwoord is een wachtwoord dat moeilijk te raden of te kraken is door mensen én door computers. Een sterk wachtwoordbeleid zou er als volgt uit kunnen zien:

  1. Wachtwoorden moeten minimaal uit 12, of nog beter uit 16 tekens bestaan die een combinatie vormen van hoofdletters, kleine letters, cijfers en speciale tekens.
  2. Wachtwoorden moeten uniek zijn, dus maar één keer gebruikt worden.
  3. Wachtwoorden moeten onvoorspelbaar zijn. Dus niet bestaan uit namen, (geboorte)datums, standaard woorden of eenvoudige patronen.
  4. Hoe controleert u dit?
    • Maak een testaccount aan en controleer of zwakke wachtwoorden geweigerd worden.

We schreven eerder blogs over het gebruik van sterke wachtwoorden. We raden u aan deze te lezen. Sterke wachtwoorden en Sterkere wachtwoorden in de database.

Monitoring en logging voor de beveiliging van uw website/ webshop

Monitoring en logging vormen samen het waarschuwingssysteem en het geheugen van een website of webshop. Ze zorgen ervoor dat u problemen snel ontdekt, kunt aantonen wat er is gebeurd en maatregelen kunt nemen voordat schade ontstaat.

  1. Voorkomt schade, omdat continu in de gaten gehouden wordt of uw website bereikbaar en snel is. Verdachte activiteiten als Brute Force en hackpogingen worden opgespoord en vastgelegd. Door het monitoren en vastleggen van downtime, trage laadtijd of fouten in plugins wordt het mogelijk om fouten op te lossen, vaak vóór klanten dat merken.
  2. Beschermt tegen aanvallen, omdat de logging alle inlogpogingen en aanvallen vastlegt. U ziet precies wie, waar en wanneer geprobeerd heeft toegang te krijgen.
  3. Borgt het naleven van wet- en regelgeving als vereist door De AVG omdat de toegang tot persoonsgegevens gecontroleerd en verantwoord wordt. Monitoring en logging maakt zichtbaar wie de gegevens ingezien, gewijzigd of verwijderd heeft.
  4. Maakt herstel na incidenten sneller omdat, als er tóch een datalek of hack plaatsvindt, de logs u helpen om te achterhalen wat er precies gebeurd is. Zodat u sneller maatregelen kunt nemen en waar nodig rapporteren aan de toezichthouder.
  5. Toont aan dat u uw klanten serieus neemt en professioneel met beveiliging omgaat.
  6. Hoe controleert u dit?
    • Simuleer een Brute Force door een aantal keren fout in te loggen. Na 5 tot  10 keer moet u geblokkeerd worden.
    • Forceer een mislukte login, voer een nieuwe pagina in of wijzig iets aan de instellingen van een plugin. Controleer of u meldingen krijgt via een e-mailmelding of Slack.
    • Start/ vraag de developer handmatig een malwarescan uit te voeren.
    • Vraag uw developer een overzicht van alle ingeschakelde monitoring, logging en alaerts,
    • Vraag screenshots of exports van recente logregels.

Updates van WordPress, thema’s en plugins

Uit onderzoek is gebleken dat één van de grootste oorzaken van gehackte WordPress sites achterstallig onderhoud was. Vraag uw developer dus om WordPress, de thema’s en de plugins zo in te stellen dat ze automatisch updaten.

WordPress, het thema en de plugins vormen samen het fundament van uw website of webshop. Deze software krijgt regelmatig updates. Die updates lijken soms klein, maar zijn van groot belang voor de veiligheid, stabiliteit en prestaties van uw site. Veel hacks ontstaan doordat verouderde plugins, thema’s of WordPress zelf kwetsbaarheden bevatten. Updates dichten deze beveiligingslekken. Updates corrigeren bugs en zorgen dat onderdelen beter samenwerken. Dit voorkomt storingen, foutmeldingen en onverwachte crashes. Nieuwe versies van WordPress vragen vaak ook updates van thema’s en plugins. Naast beveiliging en stabiliteit brengen updates vaak ook handige nieuwe mogelijkheden of prestatieverbeteringen mee. Soms bevatten updates aanpassingen om te voldoen aan veranderende regels, zoals AVG/GDPR-vereisten of btw-wijzigingen.

Hoe controleert u dit?

  1. Ga in uw admin dashboard naar Updates. Daar zou alles up-to-date moeten zijn.
  2. Vraag uw developer of WordPress, de gebruikte thema’s en plugins, automatisch updaten.

Lees ook onze blog: WordPress Veiligheid: 2 Factor Login.

Hebt u nog vragen over de beveiliging van uw website en webshop? Neem contact met ons op. We helpen u graag.

Ga naar het overzicht van alle blogs over veiligheid van website en webshop