Veel bedrijfswebsites die privacygevoelige gegevens verwerken, zijn onvoldoende beveiligd. Dat is zorgelijk. Hacks en datalekken kunnen namelijk leiden tot onder meer gederfde inkomsten, imagoschade en herstelkosten. Maar hoe bescherm je je website tegen kwetsbaarheden? Zijn er online vulnerability scans? En wat is het nut van een pentest?
Data van je klanten die op straat komen te liggen, klanten die jou niet meer vertrouwen, een penalty in de resultaten van zoekmachines, bedrijfsgegevens die worden gestolen, bedrijfsprocessen die helemaal stil komen te liggen: het kan allemaal gebeuren als je bedrijfswebsite niet goed beveiligd is. Dat een ongeluk in een klein hoekje kan zitten en gigantische gevolgen kan hebben, bewijst de hack die leidde tot de Panama Papers. Die is namelijk terug te leiden tot een niet geüpdatete WordPress-plug-in op de website van een Panamees advocatenkantoor.
Voorbeelden van kwetsbaarheden van websites
Er zijn talloze kwetsbaarheden voor websites (en webapplicaties) die door hackers kunnen worden misbruikt. Enkele veelvoorkomende kwetsbaarheden zijn bijvoorbeeld:
Verouderde software is met stip een reden voor hackers om binnen te dringen.
Administrator-functies zijn bereikbaar via de rechten van een normale gebruiker.
Misconfiguraties: als het security-framework van een website of webapplicatie niet goed is geconfigureerd, is dat een open deur die makkelijk door hackers kan worden gevonden.
Bij injectieaanvallen kan code worden meegegeven aan invoervelden, die vervolgens wordt uitgevoerd door de webapplicatie in kwestie.
Cross-site scripting: invoer die de webapplicatie ontvangt wordt niet juist verwerkt en komt terecht in de uitvoer naar de eindgebruiker, waardoor kwaadaardige code geïnjecteerd kan worden.
Gebruik van standaardwachtwoorden.
Makkelijk raadpleegbare sites achter websites die gevoelige informatie prijsgeven over het netwerk of de software.
Session hijacking, waarbij de sessie die een gebruiker met een webapplicatie heeft wordt overgenomen.
Het gezaghebbende open source-securityproject OWASP houdt een top 10 bij van veelvoorkomende kwetsbaarheden voor webapplicaties.
Met welke tools kun je testen op kwetsbaarheden?
De meest uitgebreide manier om je website te testen, is door een pentest te laten uitvoeren door een ethical hacker – waarover later meer. Zij gebruiken (naast allerlei handmatige tests) professionele vulnerability scanners zoals Qualys, NetSparker, Acunetix, Kali Linux en OpenVAS.
Er zijn echter ook meer dan voldoende betrouwbare online website vulnerability scans beschikbaar, zoals Sucuri, Mozilla Observatory, Detectify en de KPN pentest. Meestal hebben ze een gratis basisscan en moet je betalen voor een uitgebreidere scan. Dit soort tools checken bijvoorbeeld op malware, de blacklist-status van je site, de top 10 van OWASP en verouderde serversoftware.
Tips om kwetsbaarheden te voorkomen
Met deze acht tips voor het beveiligen van websites minimaliseer je het risico op kwetsbaarheden:
Https-versleuteling. Net zo vanzelfsprekend als je autogordel omdoen voordat je gaat rijden: maakt je website gebruik van encryptie via een SSL (TLS)-certificaat, dan verschijnt ‘https://’ in de adresbalk. Door op het slotje in de adresbalk te klikken, kun je het certificaat van je site controleren.
Sterke wachtwoorden. Zorg dat iedereen (of in ieder geval elke gebruiker met een bepaald rechtenniveau) sterke wachtwoorden heeft. Lees er meer over tips, tricks en voorbeeld van sterke wachtwoorden. In ons artikel met tips en voorbeelden. Indien mogelijk valt tweefactorauthenticatie bovendien aan te raden, al helemaal voor gebruikers die toegang hebben tot essentiële of gevoelige functies.
Verbied het uploaden van bestanden. Of beperk het anders zoveel mogelijk. Bestanden kunnen namelijk scripts bevatten die je website openstellen voor aanvallers.
Gebruik je CMS veilig. Veel bedrijfswebsites draaien op een CMS zoals WordPress, Squarespace, Wix, Magento of Shopify. Zorg dat je gebruikers nooit méér rechten geeft dan noodzakelijk, wees terughoudend met het installeren van plug-ins en blokkeer IP-adressen die meerdere keren verkeerde inloggegevens gebruiken. Als je zelf verantwoordelijk bent voor het updaten van je CMS, zoals bij WordPress, installeer updates dan altijd meteen.
Firewall. Speciale firewalls voor websites en webapplicaties helpen om ongewenste bezoekers buiten de deur te houden.
Veilige hosting. Je hebt niets aan een veilige website als je hostingprovider een achterdeur open heeft staan. Ga dus niet klakkeloos voor de goedkoopste provider, maar voor hosting met een uitstekend beveiligingsniveau.
Beveilig de apparaten in het netwerk. Nog zo’n omweg voor hackers: via slecht beveiligde apparaten kunnen ze in je bedrijfsnetwerk en dus in de backend van je website komen.
Regelmatig back-uppen. Wordt er ondanks alle voorzorgsmaatregelen toch ingebroken op je website? Dan helpt regelmatig back-uppen om je site snel te kunnen herstellen.
Deze tips zijn relatief eenvoudig te realiseren en bieden een aardige basisbescherming. Het beschermen tegen bijvoorbeeld SQL-injecties en Cross-site Scripting is een stuk ingewikkelder en kun je beter overlaten aan een professionele informatiebeveiliger.
Pentesting door KPN Security
Wil je zeker weten dat je website geen kwetsbaarheden bevat, dan kies je voor een penetration test (‘pentest’) van KPN Security. Onze ethical hackers zetten dezelfde methodes en technieken in als criminele hackers om te kijken of dat ze een website kunnen binnendringen of daar iets oneigenlijks mee kunnen doen.