Wat kun je zelf doen tegen hacken?
Natuurlijk beveilig je jouw kantoor niet als de bank haar kluis. Maar voor je de deur uitgaat controleer je wel even of de ramen gesloten zijn en zet je het alarm aan.
De meeste hacks van ‘gewone’ websites zijn eenvoudig te voorkomen
Veiligheidslekken
De meeste hacks van ‘gewone’ websites zijn eenvoudig te voorkomen. Ze zijn niet interessant genoeg voor de professionele cybercriminelen om er veel tijd aan te besteden. In 99% van de gevallen gaat het om hobby-hackers of professionele hackers die grotendeels geautomatiseerd gebruik maken van bekende veiligheidslekken in de software waar je website op draait.
Met name WordPress is populair bij hackers, niet zo gek omdat zo’n 60% van alle websites erop draait. De keerzijde van het gemak waarmee je in WordPress plugins kunt installeren is dat deze kwetsbaar zijn voor veiligheidslekken. Experts ontdekken dagelijks nieuwe veiligheidslekken met name bij de plugins.
Daarnaast zien we steeds meer geautomatiseerde, professionele aanvallen met als doel om de server waarop je website wordt gehost te gebruiken in een ‘botnet’ om spam te versturen of DDOS-aanvallen mee te doen.
Wat kun je doen?
Hieronder een aantal maatregelen die je kunt treffen om ervoor zorgen dat je website lastig te hacken is. In ieder geval zo lastig, dat de meeste hackers er waarschijnlijk niet aan beginnen.
Ga verstandig om met je login naam en wachtwoord
Zorg dat je beheeromgeving alleen via een beveiligde verbinding te benaderen is. Hierbij worden de gegevens versleuteld, waardoor het voor een buitenstaander, bijvoorbeeld iemand die afluistert, onmogelijk zou moeten zijn om te zien welke gegevens je verstuurt.
Gebruik het liefst ook een twee traps-authenticatie. Hierbij wordt er naast je login naam en wachtwoord ook gebruik gemaakt van een extra beveiligingslaag op basis van bijvoorbeeld een tweede wachtwoord of een SMS naar je mobiel.
Gebruik nooit een standaard loginnaam als admin, of administrator en gebruik een moeilijk te kraken wachtwoord. Het nadeel is natuurlijk dat die ook moeilijk is te onthouden.
Via een dienst als 1Password kun je verschillende moeilijke wachtwoorden bekijken via één veilig, maar goed te onthouden sleutelwachtwoord. Op die manier is het ook niet zo lastig om bijvoorbeeld elk kwartaal je wachtwoord te veranderen. Helaas is ook dit niet waterdicht en moet je ook hiermee voorzichtig zijn.
Zorg dat je CMS software up-to-date is
Feit is dat bij de meeste hacks de beheerders van een website hebben verzuimd om op tijd de beveiligingsupdates te installeren die worden aangeboden. Iedere 12-jarige hacker in de dop kan met wat bij elkaar gegooglede informatie zo’n website eenvoudig hacken. Zorg er dus voor dat je CMS software altijd up-to-date is. Let er wel op dat wanneer je een update doorvoert op je website, je altijd ook goed test of alles nog naar behoren werkt.
Beveilig je website tegen ‘brute force attacks’
Een gemiddelde website ontvangt enkele tienduizenden mislukte inlogpogingen per dag, ook die van jou. Als het goed is, zorgt je provider ervoor dat elke bron van mislukte inlogpogingen automatisch wordt geblokkeerd.
Wat je zelf wel nog kunt doen is de URL van je beheerinlogpagina veranderen, zodat het niet meer de standaard URL is. Verander bijvoorbeeld bij WordPress /wp/wp-login.php in /beheer/ o.i.d. waarbij de pagina wp-login.php wordt verborgen. Dat scheelt al veel geautomatiseerde brute force attacks op jouw website.
Beveilig je website tegen malware
Malware is kwaadaardige software die hackers op je server plaatsen om de computers van je nietsvermoedende bezoekers te infecteren.
Google scant sites op de aanwezigheid van Malware en zet elke dag zo’n 6.000 websites op de zwarte lijst omdat ze zijn geïnfecteerd. Scan daarom preventief je website regelmatig op de aanwezigheid van Malware en treedt gelijk op zodra je malware vindt. Een heel handige hulp daarbij is Google Search Console (voorheen Webmaster Tools) van Google. Je vindt hier een verzameling goede tools om de gezondheid van je website te monitoren.
Mocht je website toch geïnfecteerd zijn met Malware en Google heeft je geblokkeerd dan kun je via Search Console een aanvraag indienen om de blokkade ongedaan te maken.
Zorg altijd voor een recente backup van je website
Mocht de schade die door hackers is aangericht te groot zijn, dan kun je in ieder geval snel een recente versie van je website terugzetten.
Een beetje flauw, laat het onderhoud door een specialist verzorgen
Voor een paar dubbeltjes per dag verzorgen wij het technisch onderhoud van jouw website en heb je geen omkijken naar updates en backups.