HostingWijzer

Hoe bescherm je je site tegen hackers?

14 april 2021 02:56



Als je zelf een website hebt, loop je risico om gehackt te worden. Zelfs als je denkt dat jouw website de moeite niet waard is om te hacken, kan je hier toch slachtoffer van worden.

De meeste hacks zijn immers niet bedoeld om jouw data te stelen, maar wel om je website en bijhorende server te gebruiken voor spam, een botnet, een PBN, of andere illegale zaken. Men kan je ook hacken via ransomware en dan je gegevens gijzelen en je proberen geld afpersen.

Je website moet zelfs niet specifiek het doelwit zijn, er zijn tegenwoordig bepaalde geautomatiseerde scripts die gewoon een heleboel websites aflopen, op zoek naar hiaten in de veiligheid van de software. Eens ze een doelwit vinden in jouw website, ben je de pineut.

In dit artikel geven we je 8 tips om je website tegen hackers te beveiligen.

1) Hou je software up to date

Dit is van enorm belang. Zoals we net al hadden vermeld, gaan geautomatiseerde hackingscripts op zoek naar hiaten in software, en die zijn vaak te vinden bij software die niet up to date is.

Zowel jouw server als andere software die je gebruikt op je website (denk aan je Content Management System, zoals WordPress) moeten voortdurend en zo snel mogelijk up to date worden gebracht. Dit is een zeer gemakkelijk doenbare tip waarmee je het risico om gehackt te worden al meteen een stuk vermindert, dus maak dit zeker een prioriteit.

2) Installeer veiligheids-plugins

Indien je website is opgesteld met een CMS (Content Management System) kan je hier gemakkelijk allerlei plugins bij installeren die de veiligheid van je site optimaliseren.

Een aantal voorbeelden zijn Sucuri, Bulletproof Security, Wordfence, MageFence, jomDefender en RSFirewall.

Vooral als je zelf niet zeer handig bent met programmeren kan je met dergelijke plugins toch een sterke verdediging tegen hackers opzetten.

3) Artificial Intelligence

Hackers maken steeds meer gebruik van geavanceerde technologie zoals Artificiële Intelligentie om automatisch websites, e-mails en servers aan te vallen. Je kan AI immers programmeren zodat het leert van wat er niet werkt, en dan blijft proberen tot er iets wel lukt.

Gelukkig kan je AI ook inzetten om je website veilig te houden, zoals bijvoorbeeld software die leert van cyberaanvallen en zijn beveiliging onmiddellijk verbetert met de nieuwe informatie. Een beetje een digitale vorm van een immuunsysteem.

AI wordt reeds door heel wat sectoren gebruikt voor de veiligheid van hun websites. Denk aan een datingsite, een gamingserver of een online casino. Dergelijke sites krijgen soms immers te maken met een DDoS-aanval, een Distributed Denial-of-Service, waarbij hackers de server van een website gewoon overspoelen met duizenden, miljoenen gebruikers (bots) tegelijk in de hoop die server plat te leggen en gemakkelijker toegang te krijgen.

4) Gebruik HTTPS

HTTPS staat voor HyperText Transfer Protocol Secure, en is een veiligheidsprotocol dat je op je website kan installeren. Alle gegevens van een website worden bij gebruik van HTTPS versleuteld, waardoor het onmogelijk is (in theorie) voor een hacker om die gegevens in te kijken.

Dit is vooral van belang als je met gevoelige gegevens omgaat, zoals betaalinformatie of inloggegevens van klanten en leden.

Het gevaar hier is bijvoorbeeld dat een hacker een specifiek cookie zou kunnen stelen, waarmee hij of zij een gebruiker van je site zou kunnen imiteren, en afhankelijk van de veiligheidstoestemmingen die die gebruiker heeft, heel wat ongein zou kunnen veroorzaken.

Een bijkomend voordeel van HTTPS gebruiken is dat je hoger in de rangschikking van Google zal komen, dus ook voor SEO-doeleinden is het een goed idee.

5) Sterke wachtwoorden

Sterke, complexe en frequent veranderde wachtwoorden zijn cruciaal voor iedereen. Als je een wachtwoord kiest zoals je naam of geboortedatum of simpelweg “wachtwoord123”, loop je veel risico om gehackt te worden. Zelfs de meest amateur-hackers kunnen deze wachtwoorden eenvoudig kraken.

Dit telt dubbel voor je server en website login gegevens. Zorg ervoor dat je altijd een erg complex wachtwoord gebruikt van minstens 10 karakters, getallen, letters, hoofdletters en speciale tekens.

Je kan hiervoor zelf wachtwoorden verzinnen, of de automatische wachtwoord-generators van bijvoorbeeld de browser Firefox gebruiken.

Wachtwoorden op die manier onthouden is onbegonnen werk, zeker als je ze minstens elke maand vervangt – wat ten sterkste aangeraden is. Schrijf ze daarom fysiek neer, en hou ze ergens offline bij.

6) Beheer je error messages

Je error messages, oftewel foutboodschappen, kunnen hackers ook een manier geven om je website te compromitteren. Zo kan je bijvoorbeeld per ongeluk geheime dingen van je server laten zien in dergelijke errors, denk aan API-keys of de wachtwoorden van je databases.

Zorg er dus voor dat je alleen minimale fouten aan je gebruikers toont, en de gedetailleerde gegevens moet je in het logboek van je server houden.

7) Zorg voor validatie van twee kanten

Hiermee bedoelen we dat je zowel aan de kant van de browser als aan de kant van de server gegevens moet valideren. Aan de kant van de browser worden normaal gezien kleine en eenvoudige zaken opgespoord, zoals verplichte velden die niet ingevuld worden, of tekst die wordt ingegeven in een veld waar je normaal gezien alleen getallen kan ingeven.

Het is immers mogelijk om deze dingen te omzeilen, en zo kunnen hackers bepaalde code op je website krijgen. Validatie aan de kant van de server is al een heel pak moeilijker om te bedotten.

8) Vermijd file uploads

Als je comments op je website toelaat, en mensen daar bijvoorbeeld hun eigen avatar kunnen instellen, kunnen ze bestanden naar jouw site uploaden. Ook op andere manieren is dit mogelijk.

Bestanden kunnen virussen bevatten, scripts die jouw website volledig blootstellen aan hackers.

Er zijn allerlei manieren om uploads naar je site veiliger te maken, met minder risico dat allerlei malware wordt geüpload, maar waarom überhaupt risico nemen? Zorg er gewoon voor niemand toegang heeft, of op zijn minst:

        Verbied fysieke toegang tot je server

        Zorg ervoor je dat je een firewall hebt, en blokkeer alle niet-essentiële toegang

        Zet je database op een andere server dan die van je website