5 quick tips om een hack van je webshop of website te voorkomen
De laatste tijd lees je veel over het belang van een veilige website en webwinkel. Als er bij een hack persoonsgegevens worden gestolen, ben je wettelijk verplicht om daar melding van te maken. De imagoschade die daarbij hoort wil je natuurlijk vermijden. Hoe voorkom je een hack? Ik geef je vijf handige tips.
1. Zorg ervoor dat je up-to-date bent
Dit is mogelijk de belangrijkste tip, maar wordt het meest overgeslagen. In oktober verscheen het bericht dat er zeker 250 webwinkels gehackt waren, vaak vanwege achterstallig onderhoud. Hier is doorlopend aandacht en tijd voor nodig. Contentmanagement-software en e-commerce-software ontwikkelen continu. Dit betekent dat er ook doorlopend nog kwetsbaarheden ontdekt worden.
Pas dus altijd alle updates toe, die op je server én op je website. Het is voor een buitenstaander vrij eenvoudig af te lezen of je website up-to-date is. Het is zelfs eenvoudig uit te zoeken welke specifieke updates je hebt toegepast op je website, en van updates is het bekend welke lekken daarmee worden gedicht.
Hierdoor kan een buitenstaander gemakkelijk zien welke kwetsbaarheden je nog niet hebt opgepakt in je website. Hetzelfde geldt voor plug-ins en modules van externe ontwikkelaars, vergeet niet deze ook te updaten.
2. Zorg voor een veilige verbinding (SSL)
Een SSL-certificaat zorgt ervoor dat alle gegevens die verstuurd worden van en naar je server voorzien worden van encryptie. In je browser krijgt je website hierdoor ‘https://’ voor de url. Hiermee wordt het zeer moeilijk voor een hacker om afgevangen gegevens te lezen.
Dit is de standaard tegenwoordig, maar nog niet iedereen past dit toe. Een veilige verbinding zorgt niet alleen voor encryptie van de data van je website. Het geeft klanten ook vertrouwen. Daarnaast is een veilige verbinding ook van belang voor zoekmachines.
Google laat dit meewegen in de ranking van je website. Voor een veilige verbinding is een SSL-certificaat nodig, dit kost tegenwoordig niet veel geld meer en is echt een must-have.
Voor een veilige verbinding is een SSL-certificaat nodig, dit kost tegenwoordig niet veel geld meer en is echt een must-have.
3. Gebruik nergens de standaardwachtwoorden en -toegang
In februari van dit jaar werd de website van Havenbedrijf Rotterdam binnen een halfuur gehackt, dankzij standaardwachtwoorden als ‘Zomer2016’ en ‘Welkom1’. Bij installatie zijn gebruikersnamen en de url die worden gebruikt om als administrator of editor in te loggen in het contentmanagementsysteem standaard.
Het is belangrijk deze toegang altijd te wijzigen, blokkeer op IP-basis de toegang, verander de url om in te loggen en gebruik geen standaard ‘username-wachtwoord’-combinaties.
4. Controleer regelmatig je toegangen
Zelfs als je afwijkt van de standaard combinaties, is het zinnig om regelmatig door je gebruikers te lopen. Hoe vaak gebeurt het niet dat er nog oud-werknemers toegang hebben, of het wachtwoord gebruikt wordt dat iedereen in het kantoor kent.
Dit kun je voorkomen met een centraal beleid rondom wachtwoorden en door regelmatig te controleren of alle gebruikers nog toegang moeten hebben.
5. Maak sterke security headers
Als een browser een verzoek stuurt naar je website, stuurt de server de pagina terug voorzien van een aantal http-response-headers. In feite zijn dit instructies aan de browser over hoe om te gaan met de content die is ontvangen.
Een deel van deze headers gaat over security. Dit is wat technisch van aard, maar niet minder belangrijk. Het goed instellen van de security headers helpt bijvoorbeeld te voorkomen dat gegevens afgevangen kunnen worden door een zogenaamde ‘man-in-the-middle’-aanval of dat er malafide code wordt geplaatst op je website waarmee bijvoorbeeld creditcardgegevens worden afgevangen.
Zorg voor een plan, mocht er toch wat gebeuren
Een hack is nooit 100 procent te voorkomen. Iedere dag worden er nog zwakheden in software ontdekt, maar het kan bijvoorbeeld ook zo zijn dat een andere website gehackt wordt. Hier worden dan username-wachtwoord-combinaties buitgemaakt, die ook op jouw website gebruikt worden. Dan is het zaak dat je een helder plan volgt om met een hack om te gaan.
In zo’n plan beschrijf je hoe je stapsgewijs met een hack omgaat. Dit verzekert je ervan dat je geen belangrijke zaken vergeet. Het plan bevat in ieder geval de volgende belangrijke zaken:
- Stappen om het lek te dichten.
- Stappen om te onderzoeken hoe de hack heeft kunnen plaatsvinden.
- Een communicatieplan voor zowel je klanten als voor je partners die je nodig hebt in de afhandeling (zoals de hosting partner).
Omdat de eerste stap het dichten van de hack is (in deze stap zal het meestal nodig zijn om alle wachtwoorden te wijzigen) is het ook belangrijk dat je alle acties die je onderneemt vastlegt. En dat je back-ups maakt van alles dat je wijzigt. Doe je dit niet, dan maak je het onderzoek dat volgt mogelijk erg moeilijk voor jezelf! Zorg dat je dit plan regelmatig bijwerkt als de situatie verandert.
Vanaf 1 januari 2016 is het wettelijk verplicht om datalekken te melden aan het CBP (College Bescherming Persoonsgegevens). Er staan hoge boetes op het niet melden van een datalek, ze kunnen oplopen tot maximaal 10 miljoen euro. Een plan helpt je om het lek te dichten, controle te krijgen over de situatie, de melding bij het CBP te maken en een goede verklaring te geven aan je klanten die mogelijk zijn getroffen.
In hoeverre zet jij al stappen in het voorkomen van een hack?