Webshops beveiligen - Serverbeveiliging

Het lijkt logisch dat als u uw website goed wilt beveiligen, dat deze moet draaien op een veilige server. Desondanks zijn er nog veel kleinere webshops die een website onderbrengen bij een aanbieder van shared hosting, waarbij een server gedeeld wordt met anderen. Dit is vaak een goedkopere oplossing, zeker voor kleinere bedrijven die zo de kosten kunnen drukken. Het brengt echter zeker ook risico's met zich mee. Je bent plotseling immers niet alleen meer afhankelijk van de gaten in uw eigen software, maar ook van de problemen in de software van degenen met wie je de server deelt. Er zijn wel mogelijkheden om de risico's van shared hosting te beperken, maar feilloos zijn deze niet. Een groot voordeel van shared hosting kan zijn dat je het technische beheer ook uit kunt besteden. Zo kan een hostingprovider die op een server slechts een enkel softwarepakket aanbiedt, deze server actief beheren en er voor zorgen dat altijd de laatste versies geïnstalleerd zijn. In andere gevallen is het aan te raden om voor een eigen server te kiezen, die door een ervaren persoon wordt beheerd. Kies in ieder geval altijd voor een betrouwbare partner voor het hosten van uw website, met een bewezen staat van dienst.

Geen versie-informatie

Veel leveranciers van software zetten onderaan de pagina een vermelding, zodat bezoekers kunnen zien welke software er gebruikt wordt, inclusief gebruikte versie. Probeer deze informatie altijd achterwege te laten aangezien een hacker deze informatie eenvoudig kan gebruiken voor het vinden van zwakke plekken. Indien er in de gebruikte versie een lek ontdekt wordt hoeft een hacker alleen maar even met Google te zoeken om je webshop te vinden. Let ook op met het gebruik van zogenaamde README bestanden, haal deze altijd weg omdat ze voor hackers waardevolle informatie kunnen onthullen.

Scherm beheersgedeelte af

Regelmatig zijn delen waarmee de websites beheerd worden enkel afgeschermd met een gebruikersnaam en wachtwoord. Deze secties zijn meestal kwetsbaar en kunnen vaak eenvoudig misbruikt worden. Zorg er daarom voor dat je naast een sterk wachtwoord ook extra maatregelen neemt. Gebruik allereerst niet de standaard adressen als /admin/ of /phpMyAdmin/, aangezien deze adressen zo gevonden kunnen worden en veel informatie prijsgegeven over het systeem dat je gebruikt.

Pas bij voorkeur two factor authentication toe op de systemen, hiermee voorkomt je dat als iemand je wachtwoord in handen krijgt hij toegang heeft tot de gehele webshop.

Verwijder oude versies

Let er op datje na het installeren van een nieuwe versie van uw softwareapplicatie de oudere versies verwijdert. Als je dit niet doet kunnen deze nog steeds misbruikt worden. Pas ook op met het maken van backups in het publiek toegankelijke deel van je website, een bestandsnaam is soms zo geraden.

Backups

Iedereen kent het belang van backups, en toch worden ze altijd te weinig gemaakt. Zorg dat je altijd beschikt over een recente backup die eenvoudig terug te plaatsen is op een nieuw systeem, dit kan je veel ellende besparen.

Vaak worden de risico's bij de opslag van backups onderschat. Aangezien in de backup van je webshop dezelfde gevoelige informatie zit als in de webshop zelf, dienen deze backups minstens net zo goed afgeschermd te worden als de webshop. Er zijn gratis programma's beschikbaar om je backup te versleutelen, zoals bijvoorbeeld TrueCrypt.

Beveiligingsmogelijkheden

De mogelijkheden van firewalls zijn iedereen wel bekend. Zorg er voor dat als er een firewall gebruikt wordt, dat deze ook goed wordt geconfigureerd en dat alleen de poorten die absoluut noodzakelijk zijn open staan. Voor een gewone webshop zou dit eigenlijk niet meer hoeven te zijn dan poort 80 (http) en 443 (https).

Als extra beveiligingslaag zijn er nog diverse andere mogelijkheden beschikbaar. Zo kunt u bijvoorbeeld software gebruiken als ModSecurity, een applicatie firewall, of Security-Enhanced Linux (SELinux), een extra beveiligingslaag binnen Linux. Dergelijke oplossingen verbeteren de beveiliging van je webshop drastisch.

Kortom: Als je een hostingprovider uitzoekt voor je webshop, informeer dan zeker naar de beveiligingsmaatregelen die genomen zijn.

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.