Een veilige website

Geschreven: 
3 januari 2019
Geupdate: 13 juli 2022
Leestijd ca. 3 minuten
Geschreven door Paul Borkent
Alles op internet brengt beveiligingsproblemen met zich mee, een website loopt dus altijd het risico gehackt te worden. Het is belangrijk dat risico zo klein mogelijk te houden. Zo kan bijvoorbeeld worden ingesteld dat (kleine) WordPress CMS updates automatisch mogen worden uitgevoerd, dat is kostenloos. Die updates verschijnen echter pas wanneer beveiligingslekken ontstaan zijn..
Inhoud

Gevaren

Een website bestaat uit de basissoftware en (meestal) een aantal geïnstalleerde plugins. In de software kunnen fouten in de code zitten, van zowel WordPress als de daarop geinstalleerde plugins. Een hacker kan die fouten gebruiken om bijvoorbeeld de homepage te vervangen door een pagina van de hacker zelf. Jou bedrijf of organisatie kan schade ondervinden van een dergelijke aanval. Het is daarom belangrijk maatregelen te nemen. Vertrouw niet alleen op het updaten naar 'de laatste software update', voor WordPress (of ander CMS) en alle gebruikte plugins, want elke dag worden er weer nieuwe lekken gevonden.

Maatregelen die ik neem

Webdegelijk neemt, als je daarvoor gekozen hebt, al bij de bouw van een website beveiligingsmaatregelen.
Een greep uit de beveiligingsmaatregelen die ik doorgaans neem vind je hieronder.

  • Aan ../wp-admin een parameter toegevoegen zoals bijvoorbeeld lk4$#@rkj
  • Een SQLki shield aanzetten om SQL injections te voorkomen
  • Verdachte gebruikers filteren
  • Direct en Remote file inclusion shield aanzetten
  • Upload scanner toepassen
  • Voorkomen dat een admin op de front-end kan inloggen
  • Herhaaldelijk verkeerd inloggen behandelen als veiligheidsrisico
  • Beveiliging tegen veelvoorkomende file injection attacks
  • PHP Easter Eggs onmogelijk maken
  • Beveiliging tegen clickjacking
  • Reduceren MIME type beveiligingsrisico
  • XSS preventie
  • Apache en PHP version signature verwijderen
  • Content transformation voorkomen
  • Toegang van bepaalde user agents ontzeggen
  • Server beveiliging
  • Toggles Back-end beveiliging
  • Redirect index.php naar de root

Is jou website beveiligd?

Vertrouw niet alleen op het updaten naar 'de laatste software update', voor WordPress (of ander CMS) en alle gebruikte plugins, want elke dag worden er weer nieuwe lekken gevonden.

Automatische WordPress core en plugins updates

Als je er voor kiest automatisch naar alle nieuwe WordPress versies te updaten kan het zijn dat er zich soms compatibiliteitsproblemen met themes of plugins voordoen. Door een update van de core WordPress kunnen bepaalde functies of kan zelfs de hele website vast lopen, waardoor je ook nog eens geconfronteerd kunt worden met hoge herstelkosten. Daarom is het, vooral voor een site die veel plugins gebruikt soms verstandiger updates naar grotere (major) WordPress releases handmatig uit te voeren. Ook kun je er voor kiezen de updates van de plugins handmatig uit te voeren, en dus de updates van alle WordPress updates wel automatisch te laten verlopen. Door plugins stuk voor stuk te updaten kan ik snel problemen zien, terwijl als er pas problemen geconstateerd worden op een moment dat er al meerdere plugins geupdate zijn het een stuk lastiger is de oorzaak (plugin) te achterhalen en een oplossing te vinden.

Over het algemeen is het niet aan te bevelen naar alle nieuwe versies automatisch te updaten, kies voor enkel updates uitvoeren naar onderhouds- en beveiligingsreleases.

Laat me je plannen weten en ontvang vrijblijvend advies

Heb je vragen over wat de mogelijkheden zijn voor jouw organisatie? Neem vrijblijvend contact op en wie weet kom je er achter "welke kant het op moet"
© 2004 – 2022 Webdegelijk
Privacyverklaring
Website ontwerp & realisatie: Webdegelijk
arrow-up