Want wanneer je website offline is kost dit je bezoekers en je goede naam en daarmee dus ook geld. Wanneer je nalatig of laks bent kan een hack echter nog veel schadelijker uitpakken en daarmee je (online) reputatie zo zwaar schaden dat zelfs, zoals we uit de media kunnen vernemen, faillissementen het gevolg kunnen zijn. Denk hierbij aan het voorval met Diginotar, die op een verouderde versie van DotNetNuke draaide. Of meer recent de vele voorbeelden rond Wordpress of andere open source CMS oplossingen.

 

5 Manieren waardoor Hackers toegang kunnen krijgen tot je website
In dit artikel geef ik 5 mogelijke manieren waardoor Hackers waarschijnlijk toegang hebben gekregen tot je website. De onderstaande lijst bevat enkele veel voorkomende manieren waarop websites worden gehackt, evenals een paar dingen die je kunt doen om je website te beschermen. Lees de punten aandachtig door en doe er je voordeel mee.

 

1 de hostingprovider vormt een bedreiging

Het komt vaak voor dat veel websites, die gehost worden door dezelfde hostingprovider, allemaal tegelijk gehackt zijn. In deze gevallen ligt het probleem dan ook meestal bij de hostingprovider. Of hun servers hebben een aantal kwetsbaarheden die worden geëxploiteerd door een hacker of de hackers hebben een manier bedacht om toegang tot een website op een server te krijgen en gebruiken die website om de andere websites, die ook worden gehost op die server, te infecteren.

 

Om er zeker van te zijn dat dit probleem niet bij je hostingprovider voorkomt of om er zeker van te zijn dat het niet aan je hostingprovider ligt is het goed om je gehackte website direct te melden bij je hostingprovider. [i]

 

Als je gastheer een slechte staat van dienst heeft als het gaat om gehackte websites, moet je overwegen om je website te verplaatsen (migreren) naar een andere hostingprovider die een betere beveiliging heeft geïmplementeerd voor hun servers. De tip goedkoop is duurkoop lijkt mij hier op zijn plaats.

 

2 je eigen computer of de web developer vormt een bedreiging

Soms zit de kern van het probleem in de achterliggende computers die gebruikt worden om websites te ontwikkelen en niet in de websites zelf. Hackers kunnen computers, bijvoorbeeld je eigen computer waarmee je je website ontwikkelt, maar dus ook de computers van je web developer (het bedrijf dat de website voor je bouwt) infecteren met malware waardoor ze zaken als opgeslagen wachtwoorden kunnen stelen of bestanden kunnen infecteren met eigen software die mee wordt geupload naar de server waar je website staat en dan heeft de hacker automatisch toegang tot je website.

 

Om dit te voorkomen dienen je computers, die gebruikt worden om een ​​website via FTP of SSH toegang te verschaffen, regelmatig te worden gescand op spyware, virussen en malware. Daarnaast mogen niet-gecodeerde wachtwoorden absoluut nooit worden opgeslagen in FTP-programma's. Daarnaast adviseer ik om gebruik te maken van web developers met een bewezen staat van dienst, die procedures voor ‘security en privacy’ vraagstukken hebben, of in ieder geval nagedacht hebben over de doorontwikkeling en beveiliging van door hen ontwikkelde websites.[ii]

 

Tot slot bij dit punt adviseer ik dat, bij elk beveiligd gedeelte van de website, er altijd gebruik wordt gemaakt van een beveiligd en vertrouwd netwerk. Dus benader websites via https in plaats van http waarbij de ‘s’ staat voor secured. Deze security kan weer in verschillende lagen toegepast worden van 128 bits encrypty die dan weer makkelijker te hacken is tot 2048 bits die, want veel zwaarder, zeer moeilijk te hacken is. Deze laatste versie passen wij bij websites en software van Snakeware toe.

 

3 gebruikte wachtwoorden zijn uitgelekt of niet sterk en daarmee een bedreiging

Als het gaat om wachtwoorden kunnen deze alleen bescherming bieden voor jezelf of de gebruikers van je website wanneer ze sterk zijn. Dit betekent dat wachtwoorden moeten voldoen aan de volgende criteria.

 

1 Uniek

Maak voor elk door jou gebruikt softwarepakket een ander wachtwoord. Dus of het nu gaat om FTP, CMS, e-mail, etc., maak altijd unieke wachtwoorden en gebruik nooit meerdere keren dezelfde.

 

2 Complex

Wachtwoorden moeten niet makkelijk te raden zijn. De beste wachtwoorden bevatten geen woorden en zijn een combinatie van getallen, symbolen, hoofdletters en kleine letters. Een tip die ik je hierbij kan geven is maak van een woord een combinatie van getallen, symbolen, hoofdletters en kleine letters versie van minimaal 8 karakters.

 

3 Prive  

Hou je wachtwoorden voor jezelf en denk goed na hoe je ze deelt. Dus ook bij het verstrekken van wachtwoorden van je website, bijvoorbeeld bij webshops, is het verstandig om deze niet als platte tekst te sturen maar bijvoorbeeld als afbeelding. Een andere veelgebruikte oplossing, zoals wij dit bij Snakeware doen, is het versturen van een tijdelijk wachtwoord dat na acceptatie door de ontvanger in de mail zelf aangepast wordt in een uniek en complex wachtwoord.

 

4 Doe het zelf

Wanneer je wachtwoorden van leveranciers krijgt aangereikt, hoe uniek, complex en prive dan ook, raad ik je aan deze altijd direct te vervangen. Met andere woorden unieke, complexe privé wachtwoorden maak je zelf. Want als één van de door jou gebruikte softwarepakketten gehackt is, bestaat de kans dat jouw wachtwoord op straat ligt. Dit voorkom je door het “doe het zelf” principe.

 

5 Regelmatig aanpassen

Door het periodiek bijwerken van je wachtwoorden vermindert de kans dat een uitgelekt wachtwoord kan worden gebruikt om toegang te krijgen tot je website.

Wellicht ten overvloede, maar zorg er voor dat, als je website is gehackt, de hacker geen enkele onbevoegde accounts heeft kunnen aanmaken die vervolgens weer kunnen worden gebruikt voor een volgende hackpoging. Met andere woorden; alle accounts in bijvoorbeeld je CMS grondig checken.

 

4 Content Management Software vormt een bedreiging

Content management systemen (CMS) worden gebruikt door websites om het gemakkelijker te maken om content te beheren of andere functionaliteit te onderhouden. Er kleeft ook een groot nadeel aan het gebruik van een CMS en dan met name aan de vele varianten open source software met haar vele plugins en vaak onduidelijke update strategieën. Ongeacht welk open source CMS gebruikt wordt, er zijn altijd gaten in de beveiliging die kunnen worden uitgebuit door hackers.

 

Om een ​​CMS zo veilig mogelijk te maken en te houden zijn er een aantal fundamentele aanbevelingen die jij of je ontwikkelaar altijd moet volgen:

 

• Werk altijd via https, dus inloggen en werken via secured connecties

 

• Verberg je CMS versienummer in de broncode en zorg ervoor dat deze niet wordt weergegeven in HTML-opmaak.

 

• Controleer toegangsrechten; wie is wel en wie is niet toegestaan

 

• Verberg je directory structuur - pas zoekmachinevriendelijke url's toe

 

• Pas encryptie toe bij invoer van gegevens

 

De programmeurs achter je CMS, Snakeware verzorgt dit proces automatisch voor haar klanten, kunnen bijgewerkte versies of patches ter beschikking stellen als er bijvoorbeeld beveiligingslekken zijn ontdekt. Ondanks dat het duur of tijdrovend is adviseren wij altijd, als je gebruik maakt van open source en niet zoals bij ons automatisch altijd beschikt over de nieuwste versie van de software, om actief op zoek te gaan naar updates en upgrades van de door jou gebruikte software en zeker ook de door jou gebruikte plugins binnen de website. Dit loont echt en is de moeite meer dan waard.

 

Feit is namelijk dat nadat er een nieuwe update wordt uitgebracht er details over beveiligingsfouten en lekken in de oudere versies worden vrijgegeven. Dit wordt door hackers gebruikt als een simpel stappenplan om te kijken of jouw website wel up tot date is of dat het hacken van jouw website kinderspel is, simpelweg omdat jij of je webdeveloper zijn werk niet goed heeft gedaan.

 

5 de code is slecht geschreven en vormt daarmee een bedreiging

Slecht gecodeerde website formulieren, dynamische pagina's en CMS plugins en/of modules kunnen resulteren in makkelijk te misbruiken beveiligingsgaten. Om dit te voorkomen dien je ervoor te zorgen dat alle code die gebruikt wordt in de front-end (zichtbare gedeelte van de website) en middle ware (tussenlaag van de website zoals bijvoorbeeld het CMS) volledig is getest en geschreven met veiligheid in het achterhoofd.

 

Dus voordat je een 3rd-party plugin of module voor je CMS gaat toepassen moet je onderzoeken of de plugin of module goed geschreven is, aan beveiligingseisen voldoet en door een autortieit op de markt wordt gebracht zodat je hier op kunt vertrouwen. Verder wil ik de tip geven om je website eens te laten testen door een webdeveloper en deze te vragen om een lijst op te stellen met de 10 mogelijke veiligheidsissues van je website. Je betaalt dan feitelijk voor een aanval op je website en krijgt een lijst met 10 verbeterpunten terug.

 

Geen enkele website is Hacker-Proof

Zelfs na gebruik van de beste preventieve maatregelen of het inzetten van de beste internetbureaus en hun betrouwbaarste software is het nog steeds mogelijk dat je website wordt gehackt. Daarom is het heel verstandig om regelmatig je bestanden en logfiles te onderzoeken om te bekijken of hier geen wijzigingen in zijn aangebracht waaruit je kunt opmaken dat hackers geprobeerd hebben om zich toegang te verschaffen tot je website. 

 

Met andere woorden; waar rook is, is vuur. Als er iets niet in de haak is rond je logfiles of bestanden moet je direct actie ondernemen en de stappen zetten die ik hierboven aan je heb uitgelegd. Nu begrijp ik dat het actief monitoren van logfiles en bestanden een heel karwei is. Natuurlijk verzorgen wij dit automatisch voor de opdrachtgevers van Snakeware, maar er zijn voldoende 3rd-party monitoring tools die je kunt gebruiken om je te waarschuwen als je website op een oneigenlijke manier wordt benaderd. [iii]

 

Ten slotte een aantal tips om je site uit de gevarenzone van hackers te houden:

 

• Werk altijd met vertrouwde partners

 

• Werk altijd zoveel mogelijk via https met een hoge codering, bijvoorbeeld 2048 bits

 

• Software up-to-date houden - installeer altijd de nieuwste versie van de gebruikte software

 

• Plugins up to date houden - installeer altijd de nieuwste Plugin-versies van de gebruikte software

 

• Vermijd het gebruik van teveel plugins zeker van teveel verschillende aanbieders

 

---

[i] de betere hostingproviders kunnen je voorzien van back-up bestanden van je website en helpen om deze gratis te herstellen.

 

[ii] Dutch Digital Agencies is de branchevereniging en kennisorganisatie van de beste digitale bureaus. Gezamenlijk vertegenwoordigen ze de Nederlandse online industrie. Zie www.dutchdigitalagencies.nl voor de betere webdevelopers in Nederland.

 

[iii] ben je op zoek naar een gratis 3rd-party tool dan zijn de Google Webmaster Tools er om je te  waarschuwen als er op je website malware is gevonden en gerapporteerd. Dit werkt echter niet preventief maar reactief doordat het even duurt voordat Google je website (weer) gescand en aan je gerapporteerd heeft. Ik kan je dus echt adviseren, als je niet zelf je website ontwikkelt of op alle punten onderhoud, om in zee te gaan met een internetbureau dat zijn hand in het vuur steekt om van punt 1 tot en met 5 mee te denken en te werken om je website altijd zo veilig mogelijk te houden.

 

Foto: Flickr photosharing