Website beveiligen II

Als je gebruik maakt van een CMS zoals Joomla en WordPress, zul je merken dat onverlaten proberen in te loggen. Zeker als jouw site al wat langer in de lucht is en door Google gevonden wordt zullen het aantal hack pogingen toenemen.

In een vorig blog-artikel over beveiliging heb ik het gehad over het SSL certificaat. Daarmee geef je aan de bezoekers een signaal af dat communicatie met jouw site veiliger is dan met sites die geen certificaat hebben. In dit blog-artikel wil ik meer de nadruk leggen op de maatregelen die je moet nemen om er voor te zorgen dat onverlaten geen toegang kunnen krijgen tot de back-end van jouw site. Dat is immers de plaats waar je de content kan aanpassen en de instellingen kunt wijzigen. Dat is dus de laatste plek waar je wilt dat er personen actief kunnen zijn die er absoluut niet thuishoren.

Een website op het openbare internet werkt al snel als een pot honing op bijen. Als zij doorhebben dat er een optie tot inloggen aanwezig is, dan zullen zij ook binnen de kortste keren proberen om toegang te krijgen. Zeker als je werkt met een CMS zoals Joomla en WordPress, want dat is eenvoudig te achterhalen. En het is ook algemeen bekend hoe je bij de inlogpagina terecht kan komen. Daarna is het een kwestie van slim proberen of je erin kan komen.

Wat kan je doen om te voorkomen dat hackers toegang kunnen krijgen? Hieronder volgt een lijstje van aandachtspunten. Voor de meesten zal het allemaal wel bekend zijn, maar soms is het goed om de punten nog een keer op een rijtje te zetten.

1. Besteed (regelmatig) aandacht aan dit onderwerp
2. Sterk wachtwoord instellen
3. Niet de standaard gebruikersnaam gebruiken
4. Zo min mogelijk gebruikers 
5. Iedereen die niet meer actief is verwijderen
6. Updaten
7. Maak gebruik van tweestapsverificatie
8. Gebruik extensies

Denk vooral niet dat jouw site niet interessant zou zijn voor hackers en dat zij zich alleen richten op de grote jongens.

Alles begint met het besteden van aandacht aan dit onderwerp, en doe dit regelmatig. Lees dus meer over de risico’s, oplossingen, zorg ervoor dat je op de hoogte bent van wat er speelt. Denk vooral niet dat jouw site niet interessant zou zijn voor hackers en dat zij zich alleen richten op de grote jongens.

Een sterk wachtwoord is het eerste wat je moet instellen. Dus niet ‘qwerty01’, of ‘123456’, of de naam van je vrouw, etc. Deze, en nog veel meer eenvoudig te raden wachtwoorden, staan in de top 100 van wachtwoorden die het eerste geprobeerd worden. Ook het vervangen van de a door een @, of een s door een 5 is iets wat allang bekend is bij hackers. Dus verzin iets ingewikkelds, wat je nog wel zelf kan onthouden. Of gebruik bij voorkeur een password manager (bijv. LastPass).

Vaak worden de standaard gebruikersnaam voor de systeembeheerder gebruikt, zoals Admin, Administrator en Sysop. Je zult zien dat deze namen als eerste gebruikt worden bij een poging om in te loggen.

Zodra je meerdere mensen toegang geeft tot de back-end creëer je ook meerdere mogelijkheden voor hackers. Ook al geef je die anderen minder toegangsrechten, het is toch niet aan te raden.

Updaten is iets waar niet genoeg op gehamerd moet worden. De meeste hacks op websites vinden plaats via verouderde en daardoor kwetsbare software. Dat kunnen de extensies zijn, maar ook de software van het CMS zelf. Er is geen excuus te vinden om niet te updaten. Als de website niet meer werkt met een recenter stuk software is er iets anders aan de hand wat zo snel mogelijk opgelost moet worden.

Tweetrapsauthenticatie (2FA) is een goede remedie tegen ongeautoriseerde toegang. Je moet immers naast de een gebruikersnaam en het (sterke) wachtwoord ook nog beschikken over een extra code, die afkomstig is van bijv. een sms, of gegenereerd wordt door een device waar alleen jij over beschikt (GSM). Ieder CMS biedt de mogelijkheid om 2FA in te stellen.

Leveranciers van extensies bieden tegenwoordig ook goede oplossingen aan. Zo is er software waarmee je kan voorkomen dat iemand eindeloos wachtwoorden kan proberen in te voeren. Of software die herkent dat naar zwakke plekken in de website wordt gezocht. Een voorbeeld is Wordfence. Ook bestaat er software die het inloggen beveiligen door automatisch toestemming vragen via een bericht naar jouw telefoon (bijv. Duo). Mits deze software goed bekend staat, is het een extra aanvulling op de beveiliging van jouw website.