Webshops beveiligen - Een introductie

In de afgelopen jaren hebben we bij Xolphin veel vragen gekregen van webwinkeliers over hun internetbeveiliging. Dat de beveiliging voor webshops belangrijk is, daar is iedereen wel van overtuigd. Toch blijken veel webshops en andere internet ondernemers niet op de hoogte te zijn van de maatregelen die genomen kunnen worden om webshops te beveiligen. Dat er een SSL certificaat nodig is voor een veilige verbinding, is iets wat in ieder geval bij onze klanten en de meeste webshops wel bekend is. Met een aantal artikelen willen we je kennis laten maken met andere technieken die gebruikt worden voor de beveiliging. Om inbraken te voorkomen, maar ook om de schade te beperken ten gevolge van een inbraak.

Waarom beveiligen?

Iedereen is zich er wel van bewust dat beveiliging van een webshop of website belangrijk is, en dat de gevolgen groot kunnen zijn als een inbreker zich toegang weet te verschaffen tot een systeem. De reputatieschade die men oploopt is aanzienlijk en kan zelfs leiden tot een faillissement. Desondanks zijn er veel ondernemers die hun bedrijfspand tegen inbraak goed beveiligd hebben, maar waarbij de digitale beveiliging tekortschiet.

Men heeft dan vaak de indruk dat de eigen website voor hackers toch niet interessant genoeg is voor inbrekers, en dat als een hacker binnen wil komen, hem dat toch wel zal lukken. Natuurlijk zit in dat laatste een kern van waarheid, het beveiligen van software kan soms ingewikkeld zijn en hoe ingewikkelder websites worden, hoe ingewikkelder ook de beveiliging wordt. Dat is echt echter geen enkele reden om de beveiliging van een website dan maar helemaal te negeren. Helaas gebeurt dit maar al te vaak, met als gevolg dat er meestal via de meest simpele wegen in een webshop wordt ingebroken. Inbraken die voorkomen hadden kunnen worden als eenvoudige beveiligingsmaatregelen genomen waren. Net als met een slecht beveiligd bedrijfspand is het uiteindelijk niet een kwestie van of er ingebroken wordt, maar wanneer er ingebroken wordt.

Wachtwoorden veilig opslaan

In een ideale situatie gebruiken mensen voor elke website een uniek wachtwoord, maar de praktijk leert dat wachtwoorden vaak hergebruikt worden. Het opslaan van wachtwoorden in gewone tekst is voor elke website een doodzonde en enkel MD5 gebruiken volstaat tegenwoordig ook niet meer. Gebruik minimaal salted hashes zodat een inbreker nooit toegang krijgt tot de wachtwoorden van je klanten.

 Lees meer over Wachtwoorden veilig opslaan

Verhelp de gaten in software

Gebruik altijd de laatste versies van de (webshop)software. In veel software wordt in de loop van de tijd fouten ontdekt die online gepubliceerd worden. Hackers zien deze informatie ook en weten hierdoor precies waar ze een website op kunnen aanvallen.  

Lees meer over Verhelp de gaten in uw software

Detecteer lekken

Controleer je website geautomatiseerd op lekken door een van de vele scanners die hiervoor op de markt zijn. Als de veiligheid van uw website absoluut van belang is, laat dan een zogenaamde
penetratietest uitvoeren, en laat je door een expert adviseren over uw beveiliging.

Lees meer over Detecteer lekken

Spoor hackers op tijd op

Installeer software die aanvallen van buiten detecteert en je laat weten wanneer men probeert op je server in te breken.

Lees meer over Spoor hackers op tijd op

Serverbeveiliging

Zorg dat een website op een veilige server draait die actief wordt beheerd. Vermijd het gebruik van servers die je met anderen deelt (shared hosting), en zorg dat je het beheer uitbesteedt aan een persoon of organisatie met verstand van zaken.

Lees meer over Serverbeveiliging

Domeinnamen

Hackers kunnen verkeer naar andere websites omleiden door DNS records te vervalsen. Vraag je hostingprovider naar het gebruik van DNSSEC om dit tegen te gaan. DNSSEC wordt steeds meer
ondersteund en zal door steeds meer browsers worden gecontroleerd. Door het gebruik van DNSSEC wordt de kans dat een hacker verkeer kan omleiden kleiner.

Lees meer over Domeinnamen

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.