Er was een tijd dat mensen en bedrijven websites met totale overgave verknoeiden, simpelweg in de hoop dat niemand de inhoud zou hacken of malware op de site zou installeren.
Die dagen liggen ver achter ons, aangezien het aantal en de frequentie van aanvallen betekent dat er een constante dreiging is - en hoe succesvoller een website is, hoe groter het gevaar.
Dus wat zijn de manieren waarop u uw website kunt beschermen (via uw webhostingprovider) en hoe kunt u de kans verkleinen dat de site wordt gehackt en op schadelijke wijze wordt gewijzigd?
Maar voordat we daar op ingaan, moeten we het meest basale beveiligingsniveau begrijpen dat verantwoordelijk is voor veel gehackte sites - zelfs sites die op beveiligde servers worden gehost.
- We hebben hier de beste webhostingservices gekozen
- Dit zijn de beste gratis webhostingbedrijven die er zijn
- En dat zijn momenteel de beste websitebouwers
De eerste verdedigingslinie
Hoewel sommige bedrijven erop staan hun eigen websites te hosten, bevinden de meeste bedrijfsdomeinen zich op beveiligde servers die voor dit doel zijn gecontracteerd.
Wanneer u de hosting kiest, kunt u bepalen op welk besturingssysteem dat systeem draait (Windows Server, Linux of Unix) en dat bepaalt de beveiligingsprotocollen die vereist zijn.
De persoon of personen met de verantwoordelijkheid om de site te beheren, hebben beheerdersrechten om de bestandsstructuren erop te wijzigen, en niemand anders.
Waar dit vanaf het begin mis kan gaan, is als te veel mensen de details van het beheerdersaccount kennen en het wachtwoord niet regelmatig wordt gewijzigd. En er is maar een keylogger nodig om geïnstalleerd te worden op een van de machines die gebruikt worden om de admin te doen, en het wachtwoord wordt onthuld aan precies het soort mensen dat je het het minst zou willen hebben.
Maar eerlijk gezegd, hoeveel mensen werken er in een kantoor waar wachtwoorden regelmatig worden onthouden met post-itnotities? Ongetwijfeld gingen er een paar handen omhoog.
Het beveiligen van deze wachtwoorden is de eerste verdedigingslinie en zonder dat kan alles wat u doet gemakkelijk ongedaan worden gemaakt.
Er zijn dus twee eerste lessen die moeten worden geleerd over websitebeveiliging, namelijk dat:
- Het is zo goed als het netwerk waarop de website is gebouwd
- De beveiliging wordt zelden verbeterd door wachtwoorden op te schrijven en ze op een goed zichtbare locatie te plaatsen
Beveiligingsaudit
Het uitvoeren van een beveiligingsaudit op een locatie is een relatief eenvoudige oefening die door IT-personeel kan worden gedaan met behulp van een aantal softwaretools. Of u kunt een derde partij inhuren om de scan voor u uit te voeren en een lijst met mogelijke zwakke punten verstrekken om dit te verhelpen.
Als u een webhostingservice koopt, kan de provider ook een beveiligingstool bundelen om ervoor te zorgen dat u vanaf het begin redelijk veilig bent - maar meestal niet doorlopend.
Daarnaast bieden veel providers ook een websitebeveiligingspakket aan, waarbij ze een snelle reactie op bedreigingen en beperking van service denial-aanvallen beloven. Tenzij u slechts een kleine persoonlijke blog heeft, is dit een goede investering.
De prijs van deze services is niet hoog als u bedenkt hoe duur het kan zijn om een site voor een bepaalde periode offline te hebben, vooral voor degenen die e-commerce aanbieden.
Welke aanpak u ook kiest, het is belangrijk dat er regelmatig beveiligingsscans worden uitgevoerd om mogelijke nieuwe bedreigingen te identificeren zodra deze zich voordoen, en deze onmiddellijk aan te pakken.
Veel voorkomende zorgen
De meest voorkomende aanvallen waarmee websites worden geconfronteerd, zijn deze:
- Distributed Denial of Service (DDoS) - Veel externe computers, meestal geïnfecteerd met een Trojaans paard, werken herhaaldelijk samen met veeleisende webpagina's tot het punt waarop de servers het aantal verzoeken niet aankunnen.
- Malware-infectie - Op de een of andere manier worden bestanden die een of andere snode code bevatten op de site geplaatst met de bedoeling deze te uploaden naar iedereen die bezoekt.
- SQL injectie - Kwaadaardige code ingevoegd in een formulier of invoer die vervolgens wordt uitgevoerd door de SQL-database op de server. Met deze code kan toegang tot klantgegevens worden verkregen of kan de machine worden geopend voor externe toegang.
- Brute kracht - Vaak zorgt een fout in het besturingssysteem ervoor dat een herhaalde aanval een reset veroorzaakt die een poort kort opent voor een secundaire aanval. Gezien de complexiteit van moderne besturingssystemen worden regelmatig nieuwe kwetsbaarheden aangetroffen.
- Cross-site scripting - Een hackmethode waarbij een browser kan worden omgeleid naar een andere site, of inhoud op de slachtoffersite kan vervangen zonder dat de bezoeker het merkt.
- De ‘zero day’-hack - Dit zijn nieuwe en moeilijk te stoppen aanvallen die gebruikmaken van een zwak punt dat niet algemeen bekend is. De tijd tussen het ontdekken en herstellen van de kwetsbaarheid is kritiek, en het kan nodig zijn dat sommige serverfuncties tijdelijk worden uitgeschakeld totdat er een oplossing is gevonden.
Tekortkomingen door ontwerp
Hoewel veel sites werken met de volgende actieve functies, zijn ze om verschillende redenen de bron van veel beveiligingsproblemen:
- Formulieren - Alles dat invoer op de server verwerkt, is een potentieel toegangspunt voor kwaadaardige code, en het kan ook worden misbruikt om gebruikersgegevens te extraheren.
- Forums - Het plaatsen van scripts en het omleiden van gebruikers naar websites die malware verspreiden, zijn slechts enkele van de mogelijke problemen met door gebruikers gegenereerde forums.
- Inloggen op sociale media - Het gebruik van uw Facebook- of Google-account om in te loggen op een site is snel en eenvoudig, maar het kan ook een manier zijn waarop deze accounts worden gehackt.
- E-commerce - Misdaad volgt het geld, en hackers zullen veel meer moeite doen om een e-commercesite te hacken.
- Niet-gereguleerde inhoud - Als u nieuwsverhalen en artikelen van andere sites haalt, bent u afhankelijk van hun beveiligingsmaatregelen, wat deze ook mogen zijn.
Het is duidelijk dat het verwijderen van al deze functies van een website het een veel minder uitnodigende plek voor bezoekers zou maken. Er moet een beoordelingsgesprek worden gevoerd over welke elementen u bereid bent te gebruiken en hoe u de mogelijke beveiligingsproblemen die ermee samenhangen, wilt verminderen.
Passende bescherming
Er is maar één manier om te garanderen dat uw website nooit wordt gehackt, en dat is om er geen te hebben. Uiteindelijk is websitebeveiliging een beperking waarbij u genoeg doet om het veel minder de moeite waard te maken om te proberen uw site te hacken, en er ook voor te zorgen dat u sneller kunt herstellen van een incident.
Het exacte niveau van de geleverde beveiligingsinspanningen is een keuze waarmee alle bedrijven moeten worstelen, maar voor degenen die betrokken zijn bij online verkoop, moet de toewijding 100% zijn om de persoonlijke en financiële gegevens van degenen die met u handelen te beveiligen.
Bij tal van bedrijven en organisaties zijn al hun klantgegevens gestolen en vervolgens gebruikt voor oplichting met identiteitsdiefstal, met dure gevolgen.
Welk beschermings- en bewakingsniveau u ook kiest, het moet geschikt zijn voor het beoogde doel. Bedenk ten slotte dat het hebben van een betere beveiliging dan u nodig heeft minimale kosten met zich meebrengt, maar als u minder heeft, kan dit enorme juridische en commerciële gevolgen hebben.