Wat zijn de meest voorkomende veiligheidsrisico's voor websites?
Stel je voor: je hebt een prachtige website laten maken door een digitaal bureau. Alles ziet er fantastisch uit en je bent klaar om de wereld je nieuwe online aanwezigheid te laten zien. Maar er is één ding waar je je zorgen over maakt: websitebeveiliging. Het voelt als een groot probleem: je weet dat beveiliging belangrijk is, maar je hebt niet de technische kennis om het te begrijpen of in te schatten hoe goed je website beveiligd is.
Bij Super Interactive leveren we werk waarin digitale veiligheid op alle niveaus wordt meegenomen; het is geen "laag" die we aan het eind van het traject toevoegen. We weten dat security vaak als een technisch, ingewikkeld onderwerp wordt gezien, en daarom leek het ons een goed idee om op een rij te zetten wat de grootste bedreigingen zijn, hoe wij ermee omgaan en hoe je je website kunt beschermen. We hopen dat je hiermee, ook als je geen techneut bent, een beter beeld krijgt van waar de grootste risico's liggen en wat de impact van de maatregelen is.
1. Brute Force aanvallen
Bij Brute Force aanvallen proberen aanvallers door middel van een groot aantal geautomatiseerde pogingen inloggegevens te raden. Dit gebeurt door duizenden verschillende combinaties uit te proberen totdat de juiste gevonden is. Vrijwel elke website wordt vanaf het moment van de lancering continu belaagd door bots die via deze manier toegang proberen te krijgen tot beveiligde onderdelen van de website.
Hoe werkt het?
Brute Force aanvallen worden doorgaans op grote schaal door bots uitgevoerd. Iedere website die publiek toegankelijk is ontvangt continu geautomatiseerde requests waarmee men probeert in te loggen. Vooral veelgebruikte software, waarvan de locatie van het login-formulier algemeen bekend is, hebben hier veel mee te maken.
Wat kun je ertegen doen?
Gebruik een firewall: Ook hier is een moderne firewall je vriend. Deze zal de aanvallen vaak al in een vroeg stadium signaleren en het IP blokkeren. Echter, aangezien hackers veelal gebruik maken van botnets, waarbij ze je website vanuit verschillende IP's aanvallen, is het voor firewalls vaak moeilijk om onderscheid te maken tussen legitieme inlogpogingen en brute force aanvallen.
Beperk het aantal pogingen om in te loggen: Wanneer een gebruiker meerdere malen de verkeerde inloggegevens invoert, wordt het IP tijdelijk geblokkeerd. Aangezien brute force aanvallen alleen werken wanneer er in korte tijd duizenden combinaties van inloggegevens geprobeerd kunnen worden, maakt deze vertraging ze al snel voor een groot deel onschadelijk.
Dwing je beheerders om sterke en unieke wachtwoorden te gebruiken: Een goed wachtwoord bestaat uit verschillende soorten tekens (kleine- en hoofdletters, leestekens en symbolen) en is vooral heel lang. Hoe langer het wachtwoord, hoe meer pogingen er nodig zijn om het te raden. En dat loopt snel op: een wachtwoord van 12 tekens heeft al zo'n 400.000 jaar nodig om door de gemiddelde computer gekraakt te worden. Ook belangrijk: zorg ervoor dat alle gebruikers voor je website een wachtwoord instellen dat nergens anders gebruikt wordt. Zo kunnen hackers niet binnenkomen met inloggegevens die ze bij een andere partij via een datalek hebben bemachtigd.
2. SQL-injections
SQL staat voor Structured Query Language en is de programmeertaal waarmee applicaties communiceren met database-systemen. Bij een SQL-injection stuur een hacker SQL mee in requests naar je applicatie om zo opdrachten uit te kunnen geven aan je database.
Hoe werkt het?
De hacker stuurt de SQL-injection mee via een request, bijvoorbeeld via een onvoldoende beveiligd formulier op je website. Wanneer de applicatie de ingestuurde data opslaat, komt de SQL van de hacker mee in de opdracht die wordt verstuurd naar de database. Zo kan de hacker deze opdracht dus slim aanpassen om zo de data in je database aan te passen of te verwijderen, of zelfs toegang te krijgen tot je hele database.
Wat kun je ertegen doen?
Gebruik een firewall: De first line of defence tegen SQL-injections is een firewall die verdachte requests afvangt, nog voor deze de applicatie bereiken. Moderne firewalls bevatten een lange lijst van termen en patronen op basis waarvan pogingen tot SQL-injections snel "geflagd" kunnen worden als verdacht. Zelfs wanneer je website niet voldoende beveiligd is, zal een goede firewall je beschermen tegen een hoop problemen.
Wantrouw de input van gebruikers via je website te allen tijde: Het is absoluut noodzakelijk dat alle gegevens die gebruikers invoeren gefilterd worden op verdachte invoer. Dit wordt 'sanitizing' en 'escaping' van gegevens genoemd.
Maak backups: Mocht het toch gebeuren dat een hacker je database weet te bereiken, dan stelt een goede backup-strategie je in staat om de schade snel te herstellen.
3. Cross-site scripting (XSS)
Bij Cross-site scripting injecteren aanvallers kwaadaardige scripts in de content van je website. Wanneer een normale gebruiker de pagina opent, wordt het script uitgevoerd en kan de hacker met deze scripts gevoelige informatie stelen om zo controle over de account van de gebruiker te krijgen.
Hoe werkt het?
De hacker vindt een manier om een script in de content van je website te plaatsen, bijvoorbeeld via het reactieformulier bij artikelen. Wanneer jij op de website inlogt, bijvoorbeeld als beheerder van de site, plaatst de applicatie een cookie in je browser, waarmee je je vervolgens bij elke request identificeert als ingelogd gebruiker. De hacker kan via het script de gegevens in deze cookie uitlezen, om zich vervolgens ook als de beheerder voor te kunnen doen. Zo krijgt hij toegang tot het CMS van de site, en kan naar vrije wil de content aanpassen.
Ook is het voor hackers via XSS mogelijk om content op afgeschermde pagina's in te zien, om zo aan gevoelige persoonsgegevens te kunnen komen.
Wat kun je ertegen doen?
Gebruik een firewall: Dit type aanval lijkt veel op die van SQL-injections. De hacker probeert de scripts via requests op je website te krijgen. Met een goede firewall vang je dit soort requests zoveel mogelijk al in een vroeg stadium af.
Wantrouw de input van gebruikers via je website te allen tijde: Wanneer je formulieren op je website hebt, kun je er vanuit gaan dat een hackers vroeg of laat zullen proberen een XSS-aanval erop los te laten. Het is dus absoluut noodzakelijk om alle input te filteren op kwaadaardige scripts en andere ellende, middels 'sanitizing' en 'escaping' van de ingevoerde gegevens.
Stel een Content Security Policy (CSP) in: Een Content Security Policy (CSP) werkt door een set van richtlijnen te definiëren die bepalen welke bronnen van inhoud (zoals scripts, stijlen, afbeeldingen, enz.) een webpagina mag laden en uitvoeren. Dit helpt om de impact van kwaadaardige scripts die in je website zijn geïnjecteerd te verminderen.
4. Phishing
Phishing klinkt misschien als een vis-variant van de Vietnamese phô, maar het is helaas een heel andere soep. Aanvallers sturen je een e-mail die er doodnormaal uitziet, alsof hij van je hostingprovider of je favoriete softwareplatform komt. Ze vragen je om je wachtwoord in te vullen en vo ilà, ze hebben toegang tot je website.
Hoe werkt het?
Phishing-e-mails proberen je te verleiden met geloofwaardige verhalen en dringende verzoeken. Ze gebruiken vaak de namen en logo's van bekende bedrijven om je te misleiden. Bijvoorbeeld van je digital agency of je hosting-provider. Je bent waarschijnlijk wel bekend van de mails en sms'jes die je af en toe krijgt zogenaamd uit naam van je bank. Maar vergis je niet: in de zakelijke wereld zijn phishing aanvallen vele malen verfijnder en vaak gericht op specifieke organisaties of afdelingen. Het komt zelfs regelmatig voor dat hackers zich voordoen als collega's en zicht richten op specifieke personen binnen een organisatie.
In de context van je website is over het algemeen het doel om je inloggegevens te achterhalen, om zo volledige controle over je website te krijgen.
Wat is er tegen te doen?
Wees waakzaam: Let er altijd op als je een bericht ontvangt van iemand, ook al lijkt het een bekende, waarin gevraagd wordt naar gevoelige informatie zoals inloggegevens.
Beveilig je communicatiekanalen: Je ICT-afdeling zal waarschijnlijk wel al e.e.a. aan beveiliging voor je mailverkeer hebben draaien. Maar houd er rekening mee dat hackers erg handig zijn; ze kunnen je ook benaderen via SMS, Whatsapp-berichten of zelfs persoonlijke telefoongesprekken.
Tweestapsverificatie: Bij Super Interactive implementeren we tweestapsverificatie voor alle beheerdersaccounts. Dit betekent dat je naast je wachtwoord een tweede vorm van identificatie moet gebruiken, zoals een code die naar je telefoon wordt gestuurd. Zelfs wanneer een hacker op de een of andere manier je inloggegevens weet te bemachtigen, dan is deze beveiliging vrijwel onmogelijk om te omzeilen.
5. DDoS-aanvallen
Bij een Distributed Denial-Of-Service attack proberen aanvallers je website te overspoelen met een enorme hoeveelheid verkeer, waardoor je site onbereikbaar wordt. De aanval worden uitgevoerd door een netwerk van geïnfecteerde computers (vandaar "distributed") die allemaal tegelijkertijd eindeloos veel pagina's op je website aanvragen. Doordat de server niet in staat is alle requests goed af te handelen loopt de boel vast en gaat je website down. Het wordt wel eens omschreven als het digitale equivalent van een bezetting door een actiegroep.
Wanneer ben je kwetsbaar?
Anders dan bij brute force hacking, spam-aanvallen of SQL-injection, zijn de partijen achter DDoS-aanvallen vaak geraffineerde, goed georganiseerde hackers die het gemunt hebben op specifieke doelen. Vooral wanneer je een high-profile organisatie bent die mensen om wat voor reden dan ook graag het leven zuur willen maken, is het zaak om verdediging op te tuigen tegen DDoS-aanvallen. Dit type aanvallen komt bijvoorbeeld geregeld voor bij idealistische organisaties of partijen die, al dan niet vanuit de overheid, een maatschappelijke rol vervullen. Zo zijn DDoS aanvallen één van de lievelingsspeeltje van hackers die zich mengen in internationale conflicten.
Wat kun je ertegen doen?
Gebruik een DDoS-beschermingsdienst: Als je website geen verdediging heeft en je wordt slachtoffer van een DDoS-aanval, dan is het erg moeilijk om hier op dat moment nog wat tegen te doen. Daarom is het van groot belang om op voorhand een dienst te installeren om DDoS-aanvallen op te vangen. Een veelgebruikte oplossing is Cloudflare, maar ook de grote cloudhosting-partijen als AWS, Azure en Google bieden oplossingen voor zogenaamde DDoS mitigation.
Naast dit soort diensten zijn er ook andere oplossingen te bedenken die kleinere DDoS-aanvallen op kunnen vangen, zoals het instellen van rate-limiting in je firewall. De ervaring leert echter dat een verdediging die uitgaat van het ergste scenario de enige verstandige keuze is. Want de kosten hiervoor zijn doorgaans erg te overzien, en een serieuze DDoS-aanval kan je website zomaar dagenlang platleggen.
6. Ransomware
Ransomware is veel in het nieuws dus de kans is groot dat je een idee hebt wat deze term inhoudt. Ook voor websites is dit een gevaarlijke bedreiging. Aanvallers krijgen toegang tot je website via beveiligingslekken in de software van de applicatie, nemen de site en de data over en vragen losgeld om deze weer vrij te geven.
Wanneer ben je kwetsbaar?
Ransomware kan toeslaan via verouderde, onveilige onderdelen van de applicatie, of via kwaadaardige bijlagen die geüpload worden naar de server via je website. Zo gebeurt het geregeld dat bekende kwetsbaarheden in oudere versies van plugins door aanvallers op grote schaal worden gebruikt om toegang te krijgen tot een site. Ook fouten in de programmatuur van je applicatie kunnen kwetsbaarheden veroorzaken.
Wat is er tegen te doen?
Blijf up to date: Een website, plugins en thema's dienen altijd up-to-date gehouden te worden. Het is van essentieel belang om continu te monitoren voor eventuele kwetsbaarheden en deze waar nodig te verhelpen.
Monitor op verdachte requests: Een moderne firewall monitort op requests die zichtbaar gericht zijn op bekende kwetsbaarheden. De IP's waarvandaan deze request worden verstuurd worden direct geblokkeerd.
Maak backups: Mocht het toch voorkomen dat je slachtoffer wordt van ransomware, dan is het natuurlijk ook gewoon een optie om de hele applicatie inclusief de data gewoon opnieuw te installeren. Een goede backup-strategie zorgt ervoor dat dit snel geregeld kan worden. Uiteraard is het dan wel van groot belang dat de kwetsbaarheden eerst verholpen worden, anders zit je binnen de kortste keren weer met hetzelfde probleem.
Neem de beveiliging van je website serieus
Beveiliging is een cruciaal aspect van elke website en moet serieus worden genomen om zowel je gegevens als de gegevens van je gebruikers te beschermen. Resumerend, de belangrijkste tips om je website te beveiligen tegen een breed scala aan bedreigingen:
Gebruik een Firewall: Een moderne firewall helpt verdachte activiteiten te detecteren en te blokkeren voordat ze je website bereiken. Dit is een essentiële eerste verdedigingslinie tegen vele soorten aanvallen, waaronder brute force-aanvallen, SQL-injecties en XSS.
Implementeer Tweestapsverificatie (2FA): Tweestapsverificatie voegt een extra beveiligingslaag toe door naast een wachtwoord een tweede vorm van identificatie te vereisen, zoals een code die naar je telefoon wordt gestuurd. Dit maakt het veel moeilijker voor aanvallers om toegang te krijgen tot je accounts, zelfs als ze je wachtwoord weten.
Gebruik sterke en unieke wachtwoorden: Gebruik sterke, complexe wachtwoorden die moeilijk te raden zijn. Zorg er ook voor dat wachtwoorden uniek zijn voor elke gebruiker en niet worden hergebruikt op andere websites.
Houd Software Up-to-Date: Zorg ervoor dat je website, plugins en thema's altijd up-to-date zijn. Regelmatige updates helpen om bekende kwetsbaarheden te dichten en je website te beschermen tegen aanvallen die gebruikmaken van verouderde software.
Maak regelmatig backups: Zorg voor een goede backup-strategie zodat je snel kunt herstellen van een aanval. Backups moeten regelmatig worden gemaakt en veilig worden opgeslagen op een externe locatie.
Door deze basismaatregelen te implementeren, kun je je website effectief beschermen tegen een breed scala aan bedreigingen.
Bij Super Interactive nemen we de beveiliging van je website serieus en zorgen we ervoor dat je site beschermd is tegen diverse risico's. Benieuwd hoe we dit voor jouw website of digitaal platform in zouden richten? Neem dan contact met ons op.