Joomlapartner, alles voor uw Joomla! website

joomla-2Joomlapartner is sinds 2001 (Joomla heette nog Mambo) specialist in het ontwerpen, onderhouden, migreren en hosten van Joomla! websites.
Joomla! is een uitstekend Content Management Systeem (CMS) waarmee u zelf de inhoud van uw website kunt beheren en aanpassen.
Met behulp van dit online softwarepakket kunt u op eenvoudige wijze uw website beheren.U kunt Joomla! gebruiken voor een eenvoudige website of intranet, maar ook voor complexe bedrijfsapplicaties, zoals een webwinkel of een verenigings website.
Joomlapartner werkt graag samen met u aan uw nieuwe website.

Lees meer over Joomla!

7 minutes reading time (1436 words)

Tips voor het beveiligen van je website

veilige-joomla-website

Een juiste beveiliging van je website zorgt er niet alleen voor dat je website niet gehackt wordt, maar beschermt ook de veiligheid van je bezoekers.

Gelukkig nemen steeds meer website-eigenaren de beveiliging van hun website serieus. Al is het maar vanwege aangescherpte wetgeving (meldplicht datalekken) of de voorkeur van Google voor beveiligde websites zonder malware.

Beveiligen, waartegen?

Hackers die uit zijn op de privégegevens van onze bezoekers. Dit is een van de grootste bedreigingen. Er is sinds enkele jaren ook veel om te doen geweest. Nieuwe wetten die bedrijven en organisaties verplichten een datalek te melden. Boetes die uitgedeeld worden wanneer de beveiliging niet op orde is en een reeks aan grote datalekken waarbij gevoelige gegevens buit zijn gemaakt.

Hackers die erop uit zijn om je website over te nemen. In dit geval merk je meestal niets van de hack en wordt je website gebruikt in een DDoS-aanval of plaatsen hackers systeembestanden in je websitemappen waar vervolgens duizenden spammails mee verzonden worden. Over het algemeen maken deze hacks gebruik van bekende zwakke plekken van je CMS of de plug-ins van je CMS.

Spambots die formulieren of commentaargedeeltes misbruiken om spamlinks te plaatsen. Dit probleem wordt vaak onderschat maar de links die geplaatst worden gaan vaak naar websites waarop phishing of malware actief is. Bij phishing maken hackers websites van bijvoorbeeld banken na waarmee ze vervolgens proberen gegevens van bankrekeningen te stelen.
Laat je deze links staan op je website, dan faciliteer je dus eigenlijk dat er bij je bezoekers schadelijke software wordt geïnstalleerd.

Een controlelijst

Deze controlelijst is bedoeld voor iedereen die een website beheert. Van de website van de plaatselijke sportclub tot de website van een groot bedrijf. Allemaal krijgen we te maken met hackers en spambots en moeten we verantwoordelijk omgaan met de gegevens van de bezoekers op je website.
Zeker nu de nieuwe wet (AVG) per 25 mei 2018 actief wordt is dit een zeer belangrijk onderdeel.

Je hoeft geen bijzondere kennis te hebben om de beveiliging van je website op orde te krijgen. Bij veel van de punten in de controlelijst is het wel handig als je weet hoe je een back-up kunt maken van je website en hoe je een plug-in of een module installeert.

Kun je dit niet, maar ben je wel verantwoordelijk voor de website? Overleg deze lijst dan met degene die je website heeft gebouwd of onderhoudt.

  1. Houd je CMS en alle plug-ins, modules en themes up-to-date
    Met name bij een opensource-CMS is het zaak dat je CMS en de plug-ins up-to-date zijn.
    Open source biedt ontzettend veel voordelen maar een van de nadelen is dat als je software verouderd is, de kans groot is dat deze beveiligingslekken bevat die hackers kunnen gebruiken om bijvoorbeeld je website over te nemen.
  2. Beperk het aantal plug-ins en modules
    De ketting is zo sterk als de zwakste schakel. Door veel plug-ins of modules te gebruiken voeg je extra schakels toe.
    Eén van deze plug-ins of modules hoeft maar een beveiligingslek te bevatten om ervoor te zorgen dat je website gehackt kan worden. Gebruik modules en plug-ins daarom met mate.
  3. Maak geen aanpassingen aan de basisbestanden van je CMS
    Of instrueer je websitebouwer dit absoluut niet te doen.
    Door aanpassingen te (laten) maken aan de software van je CMS kun je het CMS misschien wel naar je eigen hand zetten, maar het nadeel is dat je soms maar gedeeltelijk of helemaal niet meer gebruik kunt maken van de beveiligings-updates die uitkomen voor je CMS. Je website raakt verouderd en de kans is groot dat je gehackt wordt.
  4. HTTPS
    Dit is het slotje dat je bij beveiligde websites ziet, links van het websiteadres. Het betekent dat het verkeer tussen de browser en de server versleuteld wordt.
    https 
    Google waardeert websites zonder HTTPS-verbinding lager in de zoekresultatent.
  5. Installeer anti-spam opties
    Binnen je website kun je op verschillende manier spammers tegengaan.
    Bekend is de Google recaptcha waarbij de bezoeker een plaatje te zien krijgt of uitsluitend een vinkje hoeft te plaatsen.

    recaptcha
  6. Zo kun je een onzichtbaar invoerveld aanmaken dat niet te zien is voor je bezoekers, maar door spambots wel wordt ingevuld.
    Nog een manier is om te controleren of degene die een reactie plaatst of formulier invult op jouw website niet op een spamlist staat. Project Honeypot is een initiatief waarbij websites samen een blacklist bijhouden van spammers.
  7. Pas de login-URL van je CMS aan
    Bekende CMS-en hebben een bekende inlog-URL zoals /administrator.
    Je houdt een hoop hackers en bots tegen die bijvoorbeeld nep-accounts proberen aan te maken op je website door deze URL aan te passen.
  8. Laat bezoekers geen bestanden uploaden
    Handig bij een sollicitatieformulier maar het vormt wel een beveiligingsrisico. Niet alleen voor de server of het CMS, maar ook voor de mensen die de bestanden moeten downloaden en openen. Daarnaast gaat het vaak om bestanden met veel persoonlijke gegevens, zoals cv’s, waarvan je absoluut niet wilt dat deze op straat komen te liggen.
  9. Laat gebruikers verplicht een sterk wachtwoord gebruiken
    Sommige CMS-en vereisen al het gebruik van minimaal 8 tekens en een combinatie van cijfers en letters.
  10. Creëer een beveiligingsbuffer via Cloudflare
    Cloudflare is een dienst die kan opereren tussen je bezoeker en de server van je website.
    Daardoor kan het ongewenste bezoekers stoppen, en zelfs DDOS-aanvallen tegenhouden. Het is gratis en maakt je website ook nog sneller.
    Cloudflare opereert tussen jouw bezoekers en server en vormt zo een extra beschermingslaag.
  11. Koppel je website aan Google Search Console
    Meestal wordt dit gedaan vanuit SEO-perspectief. Je kan binnen de Search Console bijvoorbeeld zien met welke zoekwoorden bezoekers bij je website komen.
    Maar de Search Console controleert ook je website op beveiligingsproblemen.
  12. Installeer een beveiligingsextensie binnen je CMS
    Je hebt plug-ins en modules die alleen monitoren en advies geven. Deze kijken bijvoorbeeld naar directories die openstaan qua rechten voor buitenstaanders en melden dit.
    Maar je hebt ook plug-ins en modules die een extra bescherming toevoegen. Het voordeel van deze beveiligingsextensies is dat ze specifiek naar de zwakke plekken van je CMS kijken.
  13. Doe een beveiligingsscan of laat deze uitvoeren
    Deze scans zijn meestal beperkt in de zin dat ze niet kijken naar zwakke plekken binnen het CMS. Over het algemeen wordt er gekeken naar fouten in je HTML, onveilige instellingen op je hosting server of correcte configuratie van je SSL-certificaat. Dit zijn een enkele bekende security scanners:
    Ssllabs.com
    Sucuri.net
    Quttera.com
    Detectify.com
  14. Investeer in een goede hostingprovider
    Het is natuurlijk moeilijk te bepalen of een hostingprovider goed is. Meestal kom je hier pas achter als de website al een tijdje bij de hostingprovider draait.
    Je kunt vanuit jouw kant alles op orde hebben maar als je website bij een hostingprovider staat die zijn servers niet up-to-date houdt, dan is het dweilen met de kraan open.
  15. Vraag je hostingprovider om hulp en advies
    Hostingproviders weten natuurlijk alles over de problemen rondom hackers en spammers. Sommige hostingproviders bieden extra beveiligingsdiensten aan zoals security-audits of tools die periodiek je bestanden scannen op malware.
  16. Beperk het aantal administrator accounts
    Admin-accounts mogen alles binnen je CMS. Plug-ins en modules installeren, gebruikers wissen, exports maken van je database of de website offline plaatsen.
    Daarom is het belangrijk voorzichtig met deze rol binnen je CMS om te gaan. Creëer voor gebruikers een beperktere rol die wel alle content kan beheren, maar bijvoorbeeld niet modules of plug-ins kan installeren.
    Behoud de adminrol alleen voor mensen die ook daadwerkelijk alles moeten kunnen. Houd een overzicht bij van alle admin-accounts. Worden deze niet meer gebruikt? Bijvoorbeeld omdat een medewerker niets meer met de website doet of uit dienst is, verwijder deze accounts dan. Laat gebruikers nooit admin-accounts delen door samen in te loggen met dezelfde logingegevens.
    Creëer een eigen account per gebruiker.
  17. Sla niet onnodig veel persoonsgegevens op binnen je website
    Natuurlijk is het handig om terug te kunnen zien wie zich allemaal aangemeld heeft voor die conferentie van drie jaar geleden. Maar deze gegevens kunnen ook bewaard worden in een Excelbestand of CRM-systeem.
    Natuurlijk voorkomt dit geen hack, maar mocht het gebeuren dan beperkt het de impact ervan enorm.
  18. Maak een back-upplan
    Bedenk bij een back-upplan hoe de back-ups gemaakt worden, hoe vaak, waar deze staan en wie deze terug kan plaatsen.
    Kun je dit niet zelf dan is het raadzaam je hostingprovider hiervoor om advies te vragen.
    Ga er niet vanuit dat back-ups standaard een onderdeel van je hostingdienst zijn. In veel gevallen is dit namelijk niet zo.
  19. Bedenk een noodplan
    Dit is niet hetzelfde als een back-upplan. Een back-up zet je terug.
    Maar als je als bedrijf of organisatie gehackt bent en je website bevat privégegevens, dan moet je dit gaan melden.
    Het is daarom geen gek idee een paar scenario’s te bedenken en alvast te beslissen wie de leiding neemt in dit soort gevallen, en als er kosten gemaakt moeten worden tot welk bedrag dit kan voordat er een akkoord gegeven moet worden.
Joomla 3.8.3 is beschikbaar
Joomla 3.8.2 is beschikbaar

Gerelateerde berichten

 

Reacties

Er zijn nog geen reacties gegeven. Wees de eerste die een reactie geeft
Gast
zaterdag 24 augustus 2019

Captcha afbeelding