5. Configureer en beveilig de server naargelang je behoeften
Configureer alleen de nodige diensten voor de server en verbied al het andere om ongebruikte en potentieel gevaarlijke toegangspunten te vermijden. Er kunnen ook specifieke regels worden ingesteld, zoals het filteren van IP-adressen of het verbieden van bepaalde bestandsformaten. Ten slotte moeten alle ongebruikte diensten en functies worden uitgeschakeld of beperkt om het risico op hacking te beperken.
6. Update alle software, besturingssystemen en webbrowsers.
Cybercriminelen zijn voortdurend op zoek naar kwetsbaarheden, dus het is belangrijk dat je alle systemen up-to-date houdt. Zo ben je zeker dat je de laatste en veiligste versie gebruikt.
7. Hou alle onderdelen van de webserver up-to-date
Net als bij alle informatie- en technologiesystemen is het van cruciaal belang om de onderdelen van de webserver te updaten om ervoor te zorgen dat bekende kwetsbaarheden worden gecorrigeerd en dat internetcriminelen geen kans hebben om ze uit te buiten.
Typische onderdelen van een internetserver zijn onder andere:
- de BIOS/firmware van de hardware waarop de server draait;
- het besturingssysteem van de server;
- de gebruikte webdienst (Apache, Nginx, IIS etc.);
- het contentbeheersysteem (Drupal, Joomla, WordPress etc.);
- optioneel de virtualisatielaag.
Er zijn maar weinig organisaties die hun website volledig zelf maken. In de meeste gevallen doen ze een beroep op derden die veel plugins en thema's aanbieden. Zorg ervoor dat je ook die up-to-date houdt. De ontwikkelaars van deze derde partijen zijn voortdurend op zoek naar nieuwe kwetsbaarheden. Daarom is het van cruciaal belang om de updates uit te voeren om over de minst kwetsbare versie van de gebruikte onderdelen te beschikken.
8. Versleutel, back-up en controleer de toegang tot de database
Gegevens zijn een van de meest waardevolle bezittingen van een organisatie. Ze moeten dan ook correct worden beschermd. Het is belangrijk dat gegevens in rusttoestand (d.w.z. wanneer ze in de database zijn opgeslagen) worden versleuteld en dat de toegang tot de database strikt wordt gecontroleerd.
Bovendien moet een back-up van deze databases worden gemaakt om ervoor te zorgen dat zelfs bij een incident alle belangrijke gegevens kunnen worden hersteld. Test deze back-ups regelmatig om er zeker van te zijn dat ze altijd kunnen worden gebruikt wanneer dat nodig is, na een incident. Update niet alleen de databases maar ook de website en de configuratie ervan. Test deze back-ups ook zodat je zeker bent dat ze kunnen worden hersteld indien nodig.
9. Implementeer het https-protocol
Het https-protocol wordt op internet gebruikt om de communicatie en de gegevensoverdracht op een computernetwerk te beveiligen. Dit is de beveiligde versie van het http-protocol. Net als http wordt https gebruikt om gegevens te verzenden tussen een browser en een webserver. Het verschil is dat https de gegevens versleutelt om de beveiliging van de gegevensoverdracht te verbeteren. Door alle communicatie tussen een browser en een webserver te versleutelen, zorgt het https-protocol ervoor dat niemand van buitenaf de communicatie kan afluisteren. Zelfs als een hacker de gegevens kan onderscheppen, kan hij ze niet begrijpen of gebruiken omdat ze versleuteld zijn.
10. Beveilig de toegang tot het contentbeheersysteem en hou het up-to-date
Zoals hierboven reeds is gezegd, is het voor de beveiliging van het contentbeheersysteem van groot belang dat het systeem zelf en de plug-ins up-to-date worden gehouden. Cybercriminelen zijn steeds op zoek naar nieuwe kwetsbaarheden die ze kunnen uitbuiten, maar er zijn patches die deze kwetsbaarheden kunnen verhelpen. Het is dus belangrijk om de updates te installeren zodra deze beschikbaar zijn.
Een andere manier om het contentbeheersysteem te beschermen is door nooit de standaardconfiguratie van accounts en wachtwoorden te gebruiken, maar door je eigen beheerdersaccount aan te maken met een voldoende sterk wachtwoord en met gebruik van multifactorauthenticatie (MFA). Bij multifactorauthenticatie moet een gebruiker minstens twee verschillende methodes hanteren (bv. een wachtwoord en pincode, een pincode en een code via sms) om zijn identiteit te controleren en toegang te krijgen.
Tot slot moet het toegangsbeheerproces een regelmatige evaluatie van de gebruikerslijst omvatten. Dit geldt zowel voor gebruikers die toegang hebben tot het CMS als voor andere gebruikers binnen de organisatie. Met deze controle kan de organisatie zich ervan verzekeren dat er geen testgebruikers meer actief zijn en dat er geen gebruikers zijn toegevoegd die er niet horen te zijn.
11. Schakel bladeren door de directory's uit
Door te bladeren door de directory's krijgen websitebezoekers toegang tot de inhoud van de directory, dat wil zeggen tot alle bestanden en mappen. Bladeren door de directory's moet worden uitgeschakeld, zodat hackers de gegevens niet zomaar met behulp van zoekmachines kunnen vinden. Bovendien mogen de bestanden niet worden opgeslagen op standaard- of openbaar toegankelijke locaties.
12. Implementeer processen voor toegangscontrolebeheer en gebruikersprovisioning
Cybercriminelen gebruiken vaak een bestaand account om toegang te krijgen tot de bronnen van een organisatie. De toegangscontrole moet correct worden beheerd en goed zijn verankerd in de organisatie. Pas de “least privilege”- en “need-to-know”-basisprincipes toe: gebruikers mogen alleen over de toegangen beschikken die ze nodig hebben voor hun werk. Ze moeten altijd over de minimale toegang beschikken en niet over extra toegangen "voor het geval dat”.
Bovendien moet er een proces voor de provisioning van de gebruikerstoegangen worden geïmplementeerd. In dit proces wordt de procedure beschreven voor het verwijderen of wijzigen van toegang voor werknemers die van functie veranderen of de organisatie verlaten. Geen enkele organisatie is veilig voor een aanval van insiders, ook al zijn de voormalige medewerkers altijd loyaal geweest. Ze kunnen anders tegenover de organisatie gaan staan als ze niet vrijwillig zijn vertrokken.
13. Check de website op zoek naar de meest voorkomende kwetsbaarheden
Het testen van een website op zoek naar de meest voorkomende kwetsbaarheden is een uitstekende manier om te bepalen of de website veilig online kan worden gezet. Door de resterende kwetsbaarheden in kaart te brengen, kan je ze verhelpen zonder schade te veroorzaken en voordat een cybercrimineel ze gebruikt en ernstige schade aanricht. Beveiligingsexperts kunnen je helpen door bijvoorbeeld penetratietests en -audits uit te voeren om het beveiligingsniveau van de website te beoordelen.
14. Gebruik sterke wachtwoorden en multifactorauthenticatie
Gebruikers kiezen doorgaans een zwak wachtwoord dat gemakkelijk te onthouden is. Maar een wachtwoord dat je gemakkelijk kan onthouden, is ook gemakkelijk te hacken. Daarom is het belangrijk dat je alleen sterke wachtwoorden toestaat, die bestaan uit een combinatie van hoofdletters, kleine letters, cijfers en symbolen. Bovendien voeg je met multifactorauthenticatie een extra beveiligingslaag toe aan je accounts.