Websitebeveiliging en -bescherming - hoe een website te beschermen?

Aantal weergaven

501
afdrukken · Probeer het eens: 29мин · Автор: · Опубликовано · Обновлено

Luister naar artikelLuister naar dit artikel

Websitebeveiliging - hoe kunt u uw website beveiligen en beschermen? Website bescherming.

Website bescherminghoe u uw website kunt beschermen en beveiligen? Websitebeveiliging kan een complex (of zelfs verwarrend) onderwerp zijn in een steeds veranderende omgeving. Deze gids is bedoeld om een duidelijk kader te bieden voor website-eigenaren die risico's willen beperken en beveiligingsprincipes willen toepassen op hun webeigendommen.

Voordat we beginnen, is het belangrijk om in gedachten te houden dat beveiliging nooit een "set it and go"-oplossing is. In plaats daarvan moedig ik u aan om het te beschouwen als een doorlopend proces dat constante evaluatie vereist om uw algehele risico te verminderen.

Toepassen een systematische benadering van websitebeveiliging, kunnen we het zien als een raamwerk dat bestaat uit vele beschermingslagen gecombineerd tot één element. We moeten websitebeveiliging holistisch bekijken en benaderen met een diepgaande verdedigingsstrategie.

De inhoud van het artikel:

Wat is websitebeveiliging?

Websitebeveiliging - wat is het? Alles over websitebeveiliging. Website bescherming.

Websitebeveiliging zijn de maatregelen die worden genomen om website bescherming tegen cyberaanvallen. In die zin is websitebeveiliging een continu proces en een integraal onderdeel van websitebeheer.

Waarom is websitebeveiliging belangrijk?

Websitebeveiliging kan een uitdaging zijn, vooral als het om een groot netwerk van sites gaat. Het hebben van een veilige website is net zo belangrijk voor iemands online aanwezigheid als het hebben van een websitehost.
Als een website bijvoorbeeld wordt gehackt en op de zwarte lijst wordt geplaatst, kan deze tot 98% aan verkeer verliezen. Het niet hebben van een veilige website kan net zo erg zijn als het helemaal niet hebben van een website, of zelfs erger. Zo kan het lekken van klantgegevens leiden tot rechtszaken, hoge boetes en reputatieschade.

1. Verdedigingsstrategie in de diepte

De diepteverdedigingsstrategie voor websitebeveiliging houdt rekening met de diepte van de verdediging en de breedte van het aanvalsoppervlak om de tools te analyseren die in de stapel worden gebruikt. Deze benadering geeft een nauwkeuriger beeld van het hedendaagse landschap van bedreigingen voor websitebeveiliging.

Hoe webprofessionals websitebeveiliging zien

We mogen de statistieken niet vergeten die websitebeveiliging tot een aantrekkelijk onderwerp maken voor elk online bedrijf, ongeacht de grootte.
Na het analyseren van meer dan 1.000 enquêteantwoorden van webprofessionals, kunnen enkele conclusies worden getrokken over het beveiligingslandschap:

  • 67% professionele webklanten werd gevraagd naar websitebeveiliging, maar minder dan 1%-respondenten bieden websitebeveiliging als service aan.
  • Over 72% webprofessionals maken zich zorgen over cyberaanvallen op sites van klanten.

Waarom sites worden gehackt

In 2019 waren er meer dan 1,94 miljard websites op internet. Dit biedt een enorm speelterrein voor hackers. Er bestaat vaak een misvatting over waarom websites worden gehackt. Eigenaren en beheerders denken vaak dat ze niet gehackt zullen worden omdat hun sites kleiner zijn en daardoor minder aantrekkelijk voor hackers. Hackers kunnen grotere sites kiezen als ze informatie willen stelen of saboteren. Voor andere doeleinden (die vaker voorkomen) is elke kleine site van grote waarde.
Bij het hacken van websites worden verschillende doelen nagestreefd, maar de belangrijkste wel:

  • Gebruik van sitebezoekers.
  • Diefstal van informatie die op de server is opgeslagen.
  • Misleiding van bots en zoekrobots (black hat SEO).
  • Misbruik van serverbronnen.
  • Puur hooliganisme (schade).

2. Automatische aanvallen op websites

Helaas vermindert automatisering de overhead, maakt massale onthulling mogelijk en vergroot het de kans op een succesvol compromis, ongeacht het verkeersvolume of de populariteit van de website.
In feite is automatisering koning in de wereld van hacken. Geautomatiseerde aanvallen omvatten vaak het misbruiken van bekende kwetsbaarheden om een groot aantal sites te beïnvloeden, soms zelfs zonder medeweten van de site-eigenaar.

Automatische aanvallen zijn gebaseerd op kansen. In tegenstelling tot wat vaak wordt gedacht, komen geautomatiseerde aanvallen veel vaker voor dan zorgvuldig uitgekozen gerichte aanvallen vanwege hun bereik en gemakkelijke toegang. Bijna 60% Internet draait op CMS.

CMS-beveiligingsproblemen

Het is voor de gemiddelde website-eigenaar gemakkelijker om snel online te gaan met een open source Content Management Systeem (CMS) zoals WordPress, Magento, Joomla of Drupal en meer.
Hoewel deze platforms vaak frequente beveiligingsupdates bieden, leidt het gebruik van uitbreidbare componenten van derden, zoals plug-ins of thema's, tot kwetsbaarheden die gemakkelijk kunnen worden misbruikt voor kansen.

De norm voor informatiebeveiliging is - Vertrouwelijkheid, Integriteit en Beschikbaarheid. Dit model wordt gebruikt om beleid te ontwikkelen om organisaties te beveiligen.

3. Vertrouwelijkheid, integriteit en beschikbaarheid

  • Vertrouwelijkheid verwijst naar het controleren van de toegang tot informatie om ervoor te zorgen dat degenen die geen toegang zouden moeten hebben, geen toegang krijgen. Dit kan worden gedaan met behulp van wachtwoorden, gebruikersnamen en andere componenten voor toegangscontrole.
  • Integriteit zorgt ervoor dat de informatie die eindgebruikers ontvangen juist is en niet wordt gewijzigd door iemand anders dan de site-eigenaar. Dit gebeurt vaak met encryptie, zoals Secure Socket Layer (SSL)-certificaten, die gegevens tijdens het transport versleutelen.
  • Beschikbaarheid biedt toegang tot informatie wanneer dat nodig is. De meest voorkomende bedreiging voor de beschikbaarheid van websites is een gedistribueerde denial of service- of DDoS-aanval.
Nu we enige kennis hebben van geautomatiseerde en gerichte aanvallen, kunnen we ingaan op enkele van de meest voorkomende bedreigingen voor websitebeveiliging.

Website kwetsbaarheden en bedreigingen

De belangrijkste bedreigingen voor de veiligheid van de site.

Dit zijn de meest voorkomende beveiligingsproblemen en bedreigingen van websites:

1. SQL injectie - Dergelijke SQL-injectie-aanvallen worden uitgevoerd door kwaadaardige code te injecteren in een kwetsbare SQL-query. Ze vertrouwen erop dat een aanvaller een speciaal vervaardigde query toevoegt aan een bericht dat een website naar een database stuurt.
Een succesvolle aanval zal de databasequery wijzigen zodat deze de informatie retourneert die de aanvaller wil in plaats van de informatie die de website verwacht. SQL-injecties kunnen zelfs schadelijke informatie aan de database wijzigen of toevoegen.
2. Cross-site scripting (XSS) Cross-site scripting-aanvallen bestaan uit het injecteren van kwaadaardige client-side scripts in een website en het gebruik van de website als distributiemethode. Het gevaar van XSS is dat het een aanvaller in staat stelt inhoud in een website te injecteren en de manier waarop deze wordt weergegeven te wijzigen door ervoor te zorgen dat de browser van het slachtoffer code uitvoert die door de aanvaller wordt geleverd wanneer de pagina wordt geladen. Als een ingelogde sitebeheerder de code uploadt, wordt het script uitgevoerd op hun privilegeniveau, wat mogelijk kan leiden tot een site-overname.
3. Brute Force-aanvallen op referenties Toegang krijgen tot het beheerderspaneel, het configuratiescherm of zelfs een SFTP-server van een website is een van de meest voorkomende vectoren die worden gebruikt om websites te compromitteren. Het proces is heel eenvoudig:

  1. Aanvallers programmeren in feite een script om meerdere combinaties van gebruikersnamen en wachtwoorden te proberen totdat er een wordt gevonden die werkt;
  2. Zodra toegang is verleend, kunnen aanvallers verschillende kwaadaardige activiteiten lanceren, van spamcampagnes tot het delven van munten en diefstal van dibet-informatie. of creditcards.
4. Website malware-infectie en aanvallen Door enkele van de eerdere beveiligingsproblemen te gebruiken als middel om ongeoorloofde toegang tot een website te krijgen, kunnen aanvallers:
  1. Injecteer SEO-spam in de pagina;
  2. Verwijder achterdeur om toegang te behouden;
  3. Bezoekersinformatie of kaartgegevens verzamelen;
  4. Voer exploits uit op de server om het toegangsniveau te verhogen;
  5. Gebruik de computers van bezoekers om cryptocurrencies te minen;
  6. Opslaan van commando- en controlescripts voor botnets;
  7. Ongewenste advertenties tonen, bezoekers omleiden naar frauduleuze websites;
  8. Hosting van kwaadaardige downloads;
  9. Voer aanvallen uit op andere sites.
5. DoS/DDoS-aanvallen Een gedistribueerde denial of service (DDoS)-aanval is een niet-opdringerige internetaanval. Dit wordt gedaan om de doelwebsite uit te schakelen of te vertragen door het netwerk, de server of de applicatie te overspoelen met nepverkeer.
DDoS-aanvallen zijn bedreigingen waarvan website-eigenaren zich bewust moeten zijn, aangezien ze een belangrijk onderdeel van een beveiligingssysteem vormen. Wanneer een DDoS-aanval zich richt op een kwetsbaar, resource-intensief eindpunt, is zelfs een kleine hoeveelheid verkeer voldoende om met succes aan te vallen.

E-commerce websitebeveiliging en PCI-naleving

Aanvalsbedreigingen voor e-commercebedrijven.

Standaarden voor gegevensbeveiliging in de betaalkaartindustrie (PCI DSS) definieer vereisten voor website-eigenaren met online winkels. Deze vereisten helpen ervoor te zorgen dat de kaarthoudergegevens die u als online winkel verzamelt, adequaat worden beschermd. Onder PCI DSS verwijzen kaarthoudergegevens die beschermd moeten worden naar het volledige Primary Account Number (PAN), maar kunnen ook voorkomen in een van de volgende vormen:

  1. Volledige magneetstripgegevens (of chipequivalent);
  2. Tenminste houdbaar tot;
  3. Servicecode;
  4. Pin;
  5. CVV-nummers;
  6. Naam en/of achternaam van de kaarthouder.
De PCI-nalevingsregels zijn van toepassing, ongeacht of u gegevens digitaal of schriftelijk overdraagt of communiceert met een andere persoon die toegang heeft tot de gegevens.

Het is erg belangrijk voor e-commercewebsites om alles in het werk te stellen om ervoor te zorgen dat kaarthoudergegevens van de browser naar de webserver worden verzonden met de juiste codering via HTTPS. Het moet ook veilig en op dezelfde manier versleuteld op de server worden opgeslagen wanneer het wordt verzonden naar betalingsverwerkingsdiensten van derden.

Hackers kunnen op elk moment proberen kaarthoudergegevens te stelen of te onderscheppen, of de gegevens nu in rust zijn of onderweg zijn.

Kader voor websitebeveiliging

Kader voor informatiebeveiliging. Volledige websitebeveiliging.

Ongeacht de grootte van uw bedrijf, het ontwikkelen van een beveiligingssysteem kan uw algehele risico helpen verminderen. Begrijpen dat beveiliging een continu proces is, betekent dat het begint met het bouwen van de basis van de beveiliging van een website. Deze structuur omvat het creëren van een "veiligheidscultuur" waarin geplande inspecties helpen om de zaken eenvoudig en tijdig te houden.
Vijf functies: "Identificeren", "Beschermen", "Detecteren", "Reageren" en "Herstellen" zullen in detail worden beschreven, samen met de toe te passen acties.
1. Te identificeren - in dit stadium wordt al het inventaris- en activabeheer gedocumenteerd en geverifieerd. Voorraad- en vermogensbeheer gaan nog een stap verder in de volgende subcategorieën:

  1. webbronnen;
  2. webservers en infrastructuur;
  3. plug-ins, extensies, thema's en modules;
  4. integraties en diensten van derden;
  5. toegangspunten en knooppunten.
Zodra u een lijst met de activa van uw website heeft, kunt u stappen ondernemen om ze allemaal te controleren en te beschermen tegen aanvallen.
2. Beschermen Er zijn veel redenen waarom het hebben van preventieve webbeveiligingsmaatregelen van cruciaal belang is, maar waar begin je? Deze staan bekend als beveiligingstechnologieën en beveiligingsniveaus. Soms voldoen deze maatregelen aan compliancevereisten zoals PCI of maken ze het eenvoudiger om omgevingen die kwetsbaar zijn voor aanvallen virtueel te patchen en te versterken. Beveiliging kan ook betrekking hebben op training van medewerkers en toegangscontrolebeleid.
Een van de beste manieren om uw website te beveiligen, is door de webapplicatie-firewall te activeren. Als u veel tijd besteedt aan het nadenken over beveiligingsprocessen, tools en configuraties, heeft dit invloed op de beveiligingsstatus van uw website.
3. Detecteren (continue monitoring) is een concept dat verwijst naar het implementeren van tools om uw website (activa) te monitoren en u op de hoogte te stellen van eventuele problemen. Monitoring moet worden geïnstalleerd om de beveiligingsstatus te controleren:
  1. DNS-records;
  2. SSL-certificaten;
  3. opzetten van een webserver;
  4. applicatie-updates;
  5. gebruikerstoegang;
  6. bestandsintegriteit.
U kunt ook beveiligingsscanners en -tools (zoals SiteCheck) gebruiken om te zoeken naar indicatoren van een inbreuk of kwetsbaarheid.
4. Reageren — analyse en mitigatie helpen om een responscategorie te creëren. Wanneer zich een incident voordoet, moet er een reactieplan zijn. Het hebben van een reactieplan voorafgaand aan een compromisincident doet wonderen voor de psyche. Een goed incidentresponsplan omvat:
  1. Selecteren van een incidentresponsteam of -persoon;
  2. Incidentrapportage om resultaten te verifiëren;
  3. Evenementbeperking.
Tijdens het patchingproces weten we nooit op voorhand wat voor soort malware we gaan aantreffen. Sommige problemen kunnen zich snel verspreiden en andere websites infecteren in een gedeelde serveromgeving (cross-infectie). Het incidentresponsproces, zoals gedefinieerd door NIST, is onderverdeeld in vier hoofdstappen:
  1. Voorbereiding en planning;
  2. Detectie en analyse;
  3. Insluiting, uitroeiing en herstel;
  4. Maatregelen na het incident.
Een solide voorbereidingsfase en een websitebeveiligingsteam waarop u kunt vertrouwen, zijn cruciaal voor het succes van uw missie. Hier is hoe het eruit zou moeten zien:

Voorbereiding en planning

In dit stadium zorgen we ervoor dat we over alle benodigde tools en middelen beschikken voordat er zich een incident voordoet. Dit alles gaat hand in hand met de voorgaande paragrafen van het beveiligingsraamwerk.
Hostingbedrijven spelen in deze fase een cruciale rol door ervoor te zorgen dat systemen, servers en netwerken voldoende beveiligd zijn. Het is ook belangrijk om ervoor te zorgen dat uw webontwikkelaar of technisch team klaar is om een beveiligingsincident af te handelen.

Ontdekking en analyse

Hoewel er verschillende aanvalsmethoden zijn, moeten we klaar staan om elk incident aan te pakken. De meeste infecties zijn kwetsbare componenten die op de website zijn geïnstalleerd (voornamelijk plug-ins), wachtwoordcompromissen (zwak wachtwoord, brute kracht) en andere.
Afhankelijk van het probleem en de intentie kan de ontdekkingsfase complex zijn. Sommige aanvallers zijn op zoek naar roem, anderen willen misschien bronnen misbruiken of gevoelige informatie onderscheppen.
In sommige gevallen is er geen indicatie dat er een achterdeur is geïnstalleerd, wachtend op een aanvaller om toegang te krijgen voor kwaadwillende activiteiten. Daarom wordt het ten zeerste aanbevolen om mechanismen te implementeren om de integriteit van uw bestandssysteem te waarborgen.

Inperking, uitroeiing en herstel

Wat betreft de insluitings-, eliminatie- en herstelfase, moet het proces worden aangepast aan het type probleem dat op de website wordt gevonden en de vooraf gedefinieerde aanvalsgebaseerde strategieën. Een cryptominer-infectie verbruikt bijvoorbeeld doorgaans veel serverbronnen (leecher), en het incidentresponsteam moet de dreiging onder controle krijgen voordat het herstelproces wordt gestart.

Het indammen van deze aanval is een belangrijke stap om extra uitputting van hulpbronnen en verdere schade te voorkomen. Dit besluitvormingssysteem en deze strategieën vormen een belangrijk onderdeel van deze fase. Als we bijvoorbeeld een bepaald bestand identificeren als kwaadaardig 100%, moet er een actie worden ondernomen om het te vernietigen. Als het bestand gedeeltelijk schadelijke code bevat, moet alleen dat deel worden verwijderd. Elk script moet een gedefinieerd proces hebben.

Maatregelen na het incident

Last but not least, Post-Incident Action wordt ook wel de Lessons Learned-fase genoemd. Op dit punt moet het incidentresponsteam een rapport indienen waarin wordt beschreven wat er is gebeurd, welke maatregelen zijn genomen en hoe goed de interventie heeft gewerkt. We moeten nadenken over het incident, er lering uit trekken en actie ondernemen om soortgelijke problemen in de toekomst te voorkomen. Deze acties kunnen zo eenvoudig zijn als het bijwerken van een component, het wijzigen van wachtwoorden of het toevoegen van een website-firewall om aanvallen aan de rand te voorkomen.

Bekijk de acties die uw afdeling moet ondernemen om de beveiliging verder te versterken. Zorg er dan voor dat je deze acties zo snel mogelijk onderneemt. U kunt alle verdere acties baseren op de volgende tips:

  • Beperk de wereldwijde toegang tot uw site (of specifieke gebieden) met behulp van GET- of POST-methoden om de impact te minimaliseren.
  • Werk machtigingen voor mappen en bestanden bij om de juiste lees-/schrijftoegang te garanderen.
  • Update of verwijder verouderde software/thema's/plug-ins.
  • Stel uw wachtwoorden onmiddellijk opnieuw in met een sterk wachtwoordbeleid.
  • Activeer waar mogelijk 2FA/MFA om een extra authenticatielaag toe te voegen.
Als u Web Application Firewall (WAF) actief gebruikt, controleer dan ook uw bestaande configuratie om te bepalen of er wijzigingen moeten worden aangebracht. Houd er rekening mee dat hoewel WAF's helpen voldoen aan verschillende Payment Card Industry Data Security Standards (PCI DSS), ze geen wondermiddel zijn. Er zijn nog andere factoren die van invloed kunnen zijn op uw bedrijf, met name de menselijke factor.
5. herstellen — herstelplanning vindt plaats wanneer een volledige analyse van alle fasen in het geval van een incident is uitgevoerd. Herstel is ook gekoppeld aan het hebben van een back-upplan voor situaties waarin alle voorgaande stappen mislukten, zoals ransomware-aanvallen.

Dit proces moet ook tijd inhouden om met uw beveiligingsleverancier te praten over het verbeteren van zwakke plekken. Zij zijn beter toegerust om inzicht te bieden in wat er kan.

Zorg voor een communicatiestrategie

Laat het uw klanten weten als er gegevens in gevaar zijn. Dit is vooral van belang als u zakendoet in de EU, waar een organisatie een datalek binnen 72 uur moet melden conform artikel 33 van de Algemene Verordening Gegevensbescherming (AVG).

Gebruik automatische back-up

Wat u ook doet om uw website te beschermen, het risico is nooit nul. Als de functionaliteit van uw website beschadigd is, heeft u een manier nodig om snel gegevens te herstellen - niet één, maar minstens twee. Het is uiterst belangrijk om een lokale back-up te hebben van de gehele applicatie en een externe back-up die niet direct gekoppeld is aan de applicatie in geval van een hardwarestoring of aanval.

Hoe beschermt u uw site en zorgt u voor beveiliging?

Hoe een website beveiligen? Bescherming tegen DDoS-aanvallen en kwetsbaarheden.

Het belang van websitebeveiliging kan niet worden onderschat. In dit gedeelte bekijken we hoe u uw website veilig en beschermd kunt houden. Dit is geen stapsgewijze handleiding, maar het geeft u aanbevelingen voor websitebeveiliging om de juiste services voor uw behoeften te vinden.
1. Werk alles bij - Dagelijks lopen talloze websites gevaar door verouderde en onveilige software. Het is belangrijk om uw site bij te werken zodra er een nieuwe plugin of versie van het CMS beschikbaar is. Deze updates kunnen eenvoudigweg beveiligingsverbeteringen bevatten of kwetsbaarheden oplossen.
De meeste aanvallen op websites zijn geautomatiseerd. Bots doorzoeken constant elke site die ze kunnen op zoek naar exploitatiemogelijkheden. Het is niet langer voldoende om één keer per maand of zelfs één keer per week te updaten, omdat bots hoogstwaarschijnlijk een kwetsbaarheid vinden voordat u deze repareert.
Daarom zou u een website-firewall moeten gebruiken die het beveiligingslek praktisch zal dichten zodra er updates worden uitgebracht. Als u een WordPress-website heeft, is WP Updates Notifier een plug-in die u zou moeten overwegen. Het stuurt u een e-mail om u te laten weten wanneer een plug-in of WordPress-kernupdate beschikbaar is.
2. Zorg voor sterke wachtwoorden Het hebben van een veilige website hangt sterk af van uw veiligheid. Heeft u er ooit over nagedacht hoe de wachtwoorden die u gebruikt de veiligheid van uw website kunnen bedreigen?
Om geïnfecteerde websites op te schonen, moeten remediatoren inloggen op de clientsite of server met hun beheerdersreferenties. Ze zullen misschien verbaasd zijn om te zien hoe onveilig root-wachtwoorden kunnen zijn. Met logins zoals admin/admin heb je misschien helemaal geen wachtwoord.
Hackers zullen gegevens van het netwerk combineren met woordenboekwoordenlijsten om nog grotere lijsten met potentiële wachtwoorden te genereren. Als de wachtwoorden die u gebruikt op een van deze lijsten staan, is het slechts een kwestie van tijd voordat uw site wordt gehackt.

Sterke wachtwoordaanbevelingen

Aanbevelingen voor het maken van een sterk wachtwoord:

  • Hergebruik wachtwoorden niet: al uw wachtwoorden moeten uniek zijn. Een wachtwoordbeheerder kan deze taak gemakkelijker maken.
  • Gebruik lange wachtwoorden. Probeer meer dan 12 tekens te gebruiken. Hoe langer het wachtwoord, hoe langer het duurt voordat een computerprogramma het heeft gekraakt.
  • Gebruik willekeurige wachtwoorden. Programma's voor het kraken van wachtwoorden kunnen binnen enkele minuten miljoenen wachtwoorden raden als ze woorden bevatten die op internet of in woordenboeken zijn gevonden. Als uw wachtwoord echte woorden heeft, is het niet willekeurig. Als u uw wachtwoord gemakkelijk kunt uitspreken, betekent dit dat het niet sterk genoeg is. Zelfs karaktervervanging (d.w.z. de letter O vervangen door het cijfer 0) is niet genoeg. Er zijn verschillende handige wachtwoordmanagers zoals LastPass (online) en KeePass 2 (offline). Deze tools slaan al uw wachtwoorden op in een gecodeerde indeling en kunnen eenvoudig willekeurige wachtwoorden genereren met één klik op de knop. Met wachtwoordmanagers kunt u sterke wachtwoorden gebruiken zonder dat u zwakkere wachtwoorden hoeft te onthouden of op te schrijven.

3. Eén site = één opslag Het hosten van veel websites op één server lijkt misschien ideaal, vooral als u een "onbeperkt" webhostingplan heeft. Helaas is dit een van de slechtste beveiligingspraktijken die u kunt gebruiken. Door meerdere sites op één locatie te plaatsen, ontstaat een zeer groot aanvalsoppervlak. U moet zich ervan bewust zijn dat kruisbesmetting heel gewoon is. Dit is wanneer een site negatief wordt beïnvloed door naburige sites op dezelfde server vanwege een slechte serverisolatie of accountconfiguratie.
Een server die één site host, kan bijvoorbeeld één WordPress-installatie hebben met een thema en 10 plug-ins die mogelijk het doelwit kunnen zijn van een aanvaller. Als u vijf sites op één server host, kan een aanvaller drie WordPress-installaties, twee Joomla-installaties, vijf thema's en 50 plug-ins hebben die potentiële doelen kunnen zijn. Erger nog, zodra een aanvaller een exploit op een site heeft gevonden, kan de infectie zich gemakkelijk verspreiden naar andere sites op dezelfde server.

Dit kan er niet alleen voor zorgen dat al je sites tegelijkertijd worden gehackt, het maakt het opruimproces ook veel tijdrovender en moeilijker. Geïnfecteerde sites kunnen elkaar steeds opnieuw infecteren, waardoor een eindeloze lus ontstaat.

Nadat het opschonen was gelukt, heb je nu een veel moeilijkere taak als het gaat om het opnieuw instellen van je wachtwoorden. In plaats van één site heb je er meerdere. Elk wachtwoord dat aan elke website op de server is gekoppeld, moet worden gewijzigd nadat de infectie is verdwenen. Dit omvat al uw CMS-databases en File Transfer Protocol (FTP)-gebruikers voor elk van deze websites. Als u deze stap overslaat, kunnen alle websites opnieuw worden geïnfecteerd en moet u het proces opnieuw starten.
4. Gebruikerstoegang en machtigingen beperken Uw websitecode is misschien niet het doelwit van een aanvaller, maar uw gebruikers wel. Het vastleggen van IP-adressen en alle activiteitengeschiedenis zal later nuttig zijn voor forensische analyse.
Een aanzienlijke toename van het aantal geregistreerde gebruikers kan bijvoorbeeld duiden op een fout in het registratieproces, waardoor spammers uw site kunnen overspoelen met valse inhoud.

Principe van de minste privileges

Het principe van de minste privileges is gebaseerd op een principe dat tot doel heeft twee doelen te bereiken:

  1. De minimale set rechten in het systeem gebruiken om een actie uit te voeren;
  2. Deze privileges alleen toekennen voor de tijd dat er actie nodig is.
Het toekennen van privileges aan bepaalde rollen bepaalt wat ze wel en niet kunnen doen. In een ideaal systeem zou een rol voorkomen dat iemand een actie probeert uit te voeren die niet de bedoeling is.
Stel dat een beheerder ongefilterde HTML kan insluiten in berichten of opdrachten kan uitvoeren om plug-ins te installeren. Is het een kwetsbaarheid? Nee, dit is een functie die is gebaseerd op één heel belangrijk element: vertrouwen. Moet de auteur echter dezelfde rechten en toegang hebben? Overweeg rollen te scheiden op basis van vertrouwen en sluit alle accounts af.
Dit is alleen van toepassing op sites met meerdere gebruikers of logins. Het is belangrijk dat elke gebruiker de juiste toestemming heeft om zijn werk te doen. Als u momenteel uitgebreide machtigingen nodig heeft, verleent u deze. Schaal het vervolgens af zodra de klus is geklaard.

Als iemand bijvoorbeeld een gastblogpost voor je wil schrijven, zorg er dan voor dat zijn of haar account geen volledige beheerdersrechten heeft. Het account zou alleen nieuwe berichten moeten kunnen maken en hun eigen berichten kunnen bewerken, omdat ze de website-instellingen niet hoeven te wijzigen. Zorgvuldig gedefinieerde gebruikersrollen en toegangsregels beperken mogelijke fouten. Het vermindert ook het aantal gecompromitteerde accounts en kan bescherming bieden tegen schade veroorzaakt door frauduleuze gebruikers.
Dit is een vaak over het hoofd gezien onderdeel van gebruikersbeheer: verantwoording en monitoring. Als meerdere mensen hetzelfde gebruikersaccount gebruiken en die gebruiker ongewenste wijzigingen aanbrengt, hoe weet u dan wie in uw team verantwoordelijk is?
Als u voor elke gebruiker afzonderlijke accounts heeft, kunt u hun gedrag volgen door naar logboeken te kijken en hun gebruikelijke trends te kennen, zoals wanneer en waar ze gewoonlijk een website bezoeken. Dus als een gebruiker op een vreemd tijdstip of vanaf een verdachte locatie inlogt, kunt u dit onderzoeken. Het bijhouden van auditlogboeken is van vitaal belang om verdachte wijzigingen aan uw website bij te houden.

Een auditlogboek is een document dat gebeurtenissen op een website vastlegt, zodat u afwijkingen kunt detecteren en aan de verantwoordelijke persoon kunt bevestigen dat het account niet is gecompromitteerd.
Natuurlijk kan handmatige auditregistratie voor sommige gebruikers moeilijk zijn. Als u een WordPress-website heeft, kunt u de gratis Sucuri-beveiligingsplug-in gebruiken, die u kunt downloaden van de officiële WordPress-repository.

Bestandsrechten

Bestandsmachtigingen bepalen wie wat met een bestand kan doen. Elk bestand heeft drie beschikbare machtigingen en elke machtiging wordt vertegenwoordigd door een nummer:

  1. Lezen (4): bekijk de inhoud van het bestand;
  2. Schrijven (2): wijzig de inhoud van het bestand;
  3. Uitvoeren (1): voer een programmabestand of script uit.
Als u meerdere machtigingen wilt toestaan, voegt u de cijfers bij elkaar op, bijvoorbeeld om lezen (4) en schrijven (2) toe te staan, stelt u de machtiging van de gebruiker in op 6. Als u de gebruiker wilt toestaan om te lezen (4), schrijf (2) en doe (1), en stel vervolgens de gebruikersrechten in op 7.

Typen gebruikers

Er zijn ook drie soorten gebruikers:

  1. Eigenaar: Dit is meestal de maker van het bestand, maar dit kan worden gewijzigd. Slechts één gebruiker kan de eigenaar zijn;
  2. Groep: elk bestand krijgt een groep toegewezen en elke gebruiker die deel uitmaakt van deze groep krijgt deze machtigingen;
  3. Algemeen: alle anderen.
Dus als u wilt dat de eigenaar lees- en schrijftoegang heeft, de groep alleen-lezen toegang en het publiek geen toegang, moeten de instellingen voor bestandsmachtigingen zijn:
5. Standaard CMS-instellingen wijzigen Moderne CMS-applicaties (hoewel eenvoudig te gebruiken) kunnen een uitdaging zijn op het gebied van beveiliging voor eindgebruikers. Verreweg de meest voorkomende aanvallen op websites zijn volledig geautomatiseerd. Veel van deze aanvallen zijn afhankelijk van gebruikers die alleen standaardinstellingen hebben. Dit betekent dat u veel aanvallen kunt voorkomen door simpelweg de standaardinstellingen te wijzigen bij het installeren van het CMS van uw keuze.
Sommige CMS-applicaties kunnen bijvoorbeeld door de gebruiker worden geschreven, zodat de gebruiker elke gewenste extensie kan installeren.
Er zijn instellingen die u kunt aanpassen om opmerkingen, gebruikers en de zichtbaarheid van uw gebruikersinformatie te beheren. Bestandsmachtigingen zijn een ander voorbeeld van een standaardinstelling die kan worden verbeterd.
U kunt deze standaardwaarden wijzigen wanneer u het CMS installeert of later, maar vergeet dit niet te doen.
6. Keuze van extensie (plug-ins) Webmasters houden meestal van de uitbreidbaarheid van CMS-applicaties, maar het kan ook een van de grootste nadelen zijn. Er zijn plug-ins, add-ons en extensies die zowat elke functionaliteit bieden die je maar kunt bedenken. Maar hoe weet u welke veilig te installeren is?

Veilige extensies (plug-ins) kiezen - de belangrijkste beveiliging van de site

Dit is waar u op moet letten bij het kiezen van extensies:

  • Wanneer (plug-in)extensie voor het laatst is bijgewerkt: als de laatste update meer dan een jaar geleden was, is de auteur er mogelijk mee gestopt. Gebruik extensies die actief in ontwikkeling zijn, omdat dit aangeeft dat de auteur op zijn minst bereid is een oplossing te implementeren als er beveiligingsproblemen worden gevonden. Als een extensie niet door de auteur wordt ondersteund, werkt deze mogelijk niet meer als kernelupdates conflicten veroorzaken.
  • Extensie (plugin) leeftijd en aantal installaties. Een extensie ontwikkeld door een gevestigde auteur met veel installaties is betrouwbaarder dan een extensie met weinig installaties uitgebracht door een beginnende ontwikkelaar. Ervaren ontwikkelaars hebben niet alleen een beter begrip van best practices op het gebied van beveiliging, ze zullen ook veel minder snel hun reputatie schaden door kwaadaardige code in hun extensie te plaatsen.
  • Juridische en betrouwbare bronnen: Download plug-ins, extensies en thema's van legitieme bronnen. Pas op voor gratis versies, die kunnen worden gekopieerd en geïnfecteerd met malware. Er zijn enkele extensies die als enige doel hebben om zoveel mogelijk websites met malware te infecteren.
7. Zorg voor back-ups van uw websites - in het geval van een hack zijn back-ups van websites van cruciaal belang om uw website te herstellen van een grote inbreuk op de beveiliging. Hoewel het niet moet worden beschouwd als een vervanging voor een beveiligingsoplossing voor websites, kan een back-up helpen bij het herstellen van beschadigde bestanden.

De beste back-upoplossing voor websites kiezen

Een goede back-upoplossing moet aan de volgende eisen voldoen:
— Ten eerste moeten ze off-site zijn. Als uw back-ups worden opgeslagen op de server van uw website, zijn ze net zo kwetsbaar voor aanvallen als al het andere. U moet uw back-ups off-site opslaan, omdat u wilt dat uw back-upgegevens veilig zijn voor hackers en hardwarestoringen. Het opslaan van back-ups op uw webserver vormt ook een groot veiligheidsrisico. Deze back-ups bevatten altijd niet-gepatchte versies van uw CMS en extensies, waardoor hackers gemakkelijk toegang krijgen tot uw server.
- Ten tweede moeten uw back-ups automatisch zijn. Je doet elke dag zoveel dingen dat het ondenkbaar is dat je eraan moet denken om een back-up van je website te maken. Gebruik een back-upoplossing die kan worden ingepland op basis van de behoeften van uw website.
Tot slot: zorg voor een betrouwbaar herstel. Dit betekent dat u back-ups van uw back-ups hebt en deze test om er zeker van te zijn dat ze echt werken. U hebt meerdere back-ups nodig voor redundantie. Door dit te doen, kunt u bestanden herstellen van vóór de hack.
8. Serverconfiguratiebestanden - Bekijk uw webserverconfiguratiebestanden: Apache-webservers gebruiken het .htaccess-bestand, Nginx-servers gebruiken nginx.conf, Microsoft IIS-servers gebruiken web.config.
De serverconfiguratiebestanden, die zich meestal in de hoofdmap van het web bevinden, zijn zeer krachtig. Hiermee kunt u serverregels afdwingen, inclusief richtlijnen die de beveiliging van uw site verhogen. Als je niet zeker weet welke webserver je gebruikt, laat je website dan door Sitecheck lopen en ga naar het tabblad "Website Details".

Sitebeveiliging - Best practices voor webservers

Hier zijn enkele richtlijnen die u kunt toevoegen voor een specifieke webserver:

  • Toegang tot mappen weigeren: dit voorkomt dat aanvallers de inhoud van elke map op de website kunnen bekijken. Het beperken van de informatie die beschikbaar is voor aanvallers is altijd een nuttige beveiligingsmaatregel.
  • Image Hotlink-preventie: hoewel dit niet strikt een beveiligingsverbetering is, voorkomt het dat andere websites afbeeldingen weergeven die op uw webserver worden gehost. Als mensen afbeeldingen van uw server gaan hotlinken, kan de toegestane bandbreedte van uw hostingplan snel worden gebruikt om afbeeldingen weer te geven voor de site van iemand anders.
  • Vertrouwelijke bestandsbeveiliging: u kunt regels instellen om specifieke bestanden en mappen te beschermen. CMS-configuratiebestanden zijn een van de belangrijkste bestanden die op een webserver worden opgeslagen, omdat ze database-inloggegevens in platte tekst bevatten. Andere plaatsen, zoals administratieve gebieden, kunnen geblokkeerd zijn. U kunt de uitvoering van PHP ook beperken tot mappen die afbeeldingen bevatten of uploads toestaan.

9. Installeer een SSL-certificaatSSL-certificaten gebruikt om gegevens te coderen die onderweg zijn tussen een host (webserver of firewall) en een client (webbrowser). Dit helpt ervoor te zorgen dat uw informatie naar de juiste server wordt verzonden en niet wordt onderschept.
Sommige typen SSL-certificaten, zoals het Organizational SSL-certificaat of het Extended Validation SSL-certificaat, voegen een extra laag van vertrouwen toe omdat de bezoeker de gegevens van uw organisatie kan zien en weet dat u een legitiem persoon bent.
Als websitebeveiligingsbedrijf moeten we webmasters opleiden en hen ervan bewust maken dat SSL-certificaten websites niet beschermen tegen aanvallen en hacks. SSL-certificaten versleutelen gegevens tijdens de overdracht, maar voegen geen beveiligingslaag toe aan de website zelf.
10. Installeer scan- en monitoringtools - controleer elke stap om de integriteit van de applicatie te waarborgen. Waarschuwingsmechanismen kunnen de responstijd verkorten en de schade verminderen in het geval van een inbreuk. Hoe weet u zonder controles en scans of uw site is gecompromitteerd?
Logboeken van minimaal een maand kunnen erg handig zijn bij het opsporen van applicatiecrashes. Ze laten ook zien of de server onder een DDoS-aanval staat of onnodig wordt belast. Registreer en bekijk regelmatig alle activiteiten die plaatsvinden in kritieke delen van de applicatie, met name (maar niet uitsluitend) administratieve gebieden. Een aanvaller kan later proberen een minder belangrijk deel van de site te gebruiken voor een hoger toegangsniveau.
Zorg ervoor dat u triggers maakt om u op de hoogte te stellen in het geval van een brute-force-aanval of een poging om een van de functies van de site te gebruiken, inclusief functies die geen verband houden met authenticatiesystemen. Het is belangrijk om regelmatig te controleren op updates en deze toe te passen om er zeker van te zijn dat u de nieuwste beveiligingspatches hebt geïnstalleerd. Dit is met name het geval als u de firewall van de webtoepassing niet inschakelt om pogingen om het beveiligingslek te misbruiken te blokkeren.
11. Volg persoonlijke veiligheidsrichtlijnen - het beschermen van uw pc is een belangrijke taak voor website-eigenaren. Uw apparaten kunnen een infectievector worden en ertoe leiden dat uw site wordt gehackt.
Een goede veiligheidsgids voor websites vermeldt het scannen van uw computer op malware als uw website is gehackt. Het is bekend dat malware vanaf de computer van een geïnfecteerde gebruiker infiltreert via teksteditors en FTP-clients.
U moet alle ongebruikte programma's van uw computer verwijderen. Deze stap is belangrijk omdat deze programma's ook privacyproblemen kunnen hebben, net als ongebruikte plug-ins en thema's op uw website.
Als iets niet is geïnstalleerd, kan het geen aanvalsvector worden om uw machine te infecteren, vooral geen browserextensie. Ze hebben volledige toegang tot websites wanneer webmasters zijn ingelogd op hun admin-interfaces. Hoe minder u op uw computer hebt geïnstalleerd, hoe beter.
Als je niet zeker weet wat het doel van een bepaalde app is, doe dan wat onderzoek online om te zien of het nodig is of dat je iets kunt verwijderen. Als u niet van plan bent het te gebruiken, verwijdert u het.
12. Gebruik een website-firewall - Alleen SSL-certificaten gebruiken is niet voldoende om te voorkomen dat een aanvaller toegang krijgt tot vertrouwelijke informatie. Door een kwetsbaarheid in uw webtoepassing kan een aanvaller verkeer onderscheppen, bezoekers naar nepwebsites sturen, valse informatie weergeven, een website gijzelen (ransomware) of alle gegevens wissen.
Zelfs met een volledig gepatchte applicatie kan een aanvaller uw server of netwerk ook aanvallen met behulp van DDoS-aanvallen om een website te vertragen of uit te schakelen. Web Application Firewall (WAF) is ontworpen om dergelijke aanvallen op websites te voorkomen en zorgt ervoor dat u zich kunt concentreren op uw bedrijf.

Extra maatregelen zonder website

Gebruik deze gratis bronnen en tools om uw websites te beschermen en het internet veiliger te maken.
1. Hulpprogramma's voor websitebeveiliging - Hier zijn enkele gratis hulpprogramma's voor websitebeveiliging:

1.1 SiteCheck is een gratis site-vrije controle- en malwarescanner.
1.2 Sucuri Load Time Tester - controleer en vergelijk de snelheid van de website.
1.3 Sucuri WordPress-beveiligingsplug-in - Audit, malwarescanner en beveiliging voor WordPress-websites.
1.4 Google Search Console - beveiligingswaarschuwingen en tools om zoekverkeer en websiteprestaties te meten.
1.5 Bing Webmaster Tools - Zoekmachinediagnose en beveiligingsrapportage.
1.6 Yandex Webmaster - Webzoekopdrachten en meldingen van beveiligingslekken.
1.6 Parasieten ontmaskeren - pagina's controleren op verborgen illegale inhoud.
1.7 Beste WAF - vergelijking van de beste firewalls voor cloud-webapplicaties.

2. Aanvullende bronnen Hier zijn enkele educatieve bronnen over websitebeveiliging:

2.2 Sucuri Labs - Onderzoek naar bedreigingen, database met malwarehandtekeningen en statistieken.
2.3 OWASP is een open source beveiligingsproject voor webapplicaties.
2.4 PCI-nalevingschecklist - PCI-nalevingschecklist.
2.5 SANS Institute - training, certificering en onderzoek op het gebied van informatiebeveiliging.
2.6 NIST - Nationaal Instituut voor Standaarden en Technologie.

Veelgestelde vragen over websitebeveiliging

Waarom is websitebeveiliging belangrijk?

Websitebeveiliging is essentieel om een website online en veilig te houden voor bezoekers. Zonder de juiste aandacht voor websitebeveiliging kunnen hackers misbruik maken van uw website, deze uitschakelen en uw online aanwezigheid beïnvloeden. De gevolgen van een website-hack kunnen bestaan uit financieel verlies, problemen met de merkreputatie en lage posities in zoekmachines.

Wat zijn de veiligheidsrisico's voor een website?

De belangrijkste beveiligingsrisico's van websites zijn: kwetsbare code, slechte toegangscontrole en gebruik van serverbronnen. DDoS-aanvallen kunnen bijvoorbeeld een site binnen enkele minuten ontoegankelijk maken voor bezoekers. Er zijn veel redenen waarom websites worden gehackt; een zwak wachtwoord of een verouderde plug-in kan ertoe leiden dat een site wordt gehackt.

Wat maakt een site veilig?

Op een beveiligde website wordt een webapplicatie-firewall geactiveerd om aanvallen en hacks te voorkomen. Het volgt ook best practices voor websitebeveiliging en heeft geen configuratieproblemen of bekende kwetsbaarheden. U kunt SiteCheck gebruiken om te zien of een website een firewall heeft, beveiligingsafwijkingen, malware heeft of op de zwarte lijst staat. SiteCheck om te zien of een website een firewall, beveiligingsafwijkingen, malware heeft of op de zwarte lijst staat.

Heb ik beveiliging nodig voor mijn site?

Ja tuurlijk. Bij de meeste webhostingpakketten is websitebeveiliging niet inbegrepen. Websitebeveiliging is de verantwoordelijkheid van de website-eigenaar. Beveiliging moet een van de eerste overwegingen zijn bij het opzetten van een website en een doorlopend verificatieproces. Als een website niet veilig is, kan deze een gemakkelijke prooi worden voor cybercriminelen.

Hoe maak ik mijn site veilig?

U kunt uw website beschermen door best practices voor websitebeveiliging te volgen, zoals:

  • Gebruik een website-firewall.
  • Gebruik altijd de nieuwste versie van het CMS, plug-ins, thema's en services van derden van de site.
  • Zorg voor en gebruik sterke wachtwoorden.
  • Geef alleen het type toegang op dat iemand nodig heeft om een taak te voltooien.
  • Installeer scan- en monitoringtools om de integriteit van uw website te waarborgen.
  • Installeer SSL-certificaten voor gegevensversleuteling.
  • Bewaar reservekopieën van websites.

Bedankt voor het lezen Nicola Top

Hoe nuttig is de post?

Klik op de smiley om te beoordelen!

gemiddelde score 5 / 5. Aantal beoordelingen: 58

Er zijn nog geen beoordelingen. Beoordeel eerst.

Читайте также:

1 reactie

  1. Евгений schreef:
    10.08.2022 om 02:42

    Veel oplossingen om de veiligheid en bescherming van de site tegen hacking en bedreigingen te waarborgen. Je hebt twee categorieën over dit onderwerp. Ik dacht niet dat ze zo groot was. Bedankt voor de gedetailleerde inhoud.

    Beantwoorden

Добавить комментарий

Het e-mailadres wordt niet gepubliceerd. Обязательные поля помечены *

3 − 2 =