Overslaan en naar de inhoud gaan

5 Bedreigingen voor je website waar je je vaak niet bewust van bent

25 augustus 2021

Website bedreigingen

De meeste bedrijven die bijvoorbeeld hun WordPress of Drupal website willen beveiligen, hebben het idee dat ze met een SSL certificaat wel goed zitten. Ze hebben nu een beveiligde verbinding met https:// voor hun webadres staan en daarmee is de website veilig, toch? Nou, nee. Er zijn genoeg bedreigingen voor je website die zich niets van dat hangslotje in een browser aantrekken. We sommen de 5 belangrijkste bedreigingen waar de meeste mensen geen rekening mee houden hier voor je op.

De meest ernstige bedreigingen zijn die waar je eigenlijk nooit van hoort

In de afgelopen tijd heb je vast regelmatig in het nieuws voorbij zien komen dat een aantal bekende websites (bijvoorbeeld van de GGD, Thuisbezorgd en Yourhosting) met cyberaanvallen te maken hebben gehad. Door een dergelijke aanval ligt een website vaak urenlang plat, met als gevolg dat er serieus geld of potentiële klanten worden misgelopen. Dat alleen de grote websites bij een cyberaanval de headlines halen, wil niet zeggen dat de website van jouw bedrijf niets te vrezen heeft. Neem nu het geval van de aanval op Yourhosting. Hun servers hosten ruim 160.000 websites, die hier ook flink onder te lijden hadden. En daar komt bij dat het in de genoemde voorbeelden altijd om overduidelijke aanvallen gaat, terwijl dit maar 1% is van de werkelijke bedreigingen waar jouw website dagelijks mee te maken heeft.

De meest ernstige bedreigingen zijn die waar je eigenlijk nooit van hoort. Ze krioelen over het internet, wachtend op het moment dat ze een aantrekkelijke website voorbij zien komen. Het is essentieel om dergelijke bedreigingen voor je website voor te blijven. Op het moment dat een bedreiging zich daadwerkelijk aandient, is het namelijk bijna altijd te laat om echte schade te voorkomen.

Malware

1. Malware

Met stip op nummer 1 in onze lijst met bedreigingen voor je website is malware. En dit Engelse woord vertelt eigenlijk ook al precies wat het inhoudt: slecht of ongewenste goederen. Malware is software dat het enige doel heeft om websites te beschadigen en plat te leggen. Daar is het behoorlijk goed in, er worden dagelijks ongeveer 30.000 websites door malware bedreigd. In eerste instantie was Google in staat om malware te herkennen en om het als onveilig voor potentiële bezoekers aan te merken. Maar dat hield mensen niet tegen om er toch gewoon op te klikken en het hierdoor zelf op hun systeem uit te nodigen. Inmiddels is malware veel moeilijker te herkennen en kan het zelfs de meest oplettende internetgebruiker overkomen dat het onopgemerkt binnen wordt gehaald.

Dat je website nog prima functioneert, wil niet zeggen dat er geen malware aanwezig is, wachtend om toe te slaan. Je kunt nagaan of je actieve malware op je website hebt door een malware test uit te voeren. Daarnaast kun je ook controleren of je domein op een blacklist staat of staat aangemerkt als zijnde besmet met malware.

Phishing

2. Phishing

Een andere serieuze bedreiging voor je website is phishing. Bij phishing draait het om het verkrijgen van gevoelige, persoonlijke informatie van een medewerker van je bedrijf of een klant. Er zijn 3 verschillende aanvallen van phishing die je in de gaten wilt houden:

  • E-mails die om persoonlijke informatie vragen en een link naar een ogenschijnlijk betrouwbare website bevatten;
  • E-mails die zogenaamd door jouw bedrijf worden verstuurd en je klanten om persoonlijke informatie vragen. Ook deze e-mails bevatten een link naar een ogenschijnlijk betrouwbare website;
  • E-mails met bijlagen die kwaadaardige virussen bevatten.

Om dergelijke phishing aanvallen tegen te gaan, is het het beste om alle persoonlijke informatie van zowel medewerkers als klanten goed te versleutelen. Daarnaast is het belangrijk dat medewerkers het verschil tussen een echte e-mail en een phishing e-mail herkennen. Als je het vermoeden hebt dat er phishing e-mails naar klanten in omloop zijn, waarschuw ze dan en hoop dat niemand erin trapt. De beste manier om phishing te voorkomen is om voor een waterdichte beveiliging van je website te zorgen. Voeg een tweestapsverificatie toe, vraag gebruikers om sterke wachtwoorden aan te maken en zorg ervoor dat je regelmatig een anti-virusprogramma laat draaien.

Ransomware

3. Ransomware

Nu is natuurlijk geen enkele bedreiging voor je website een pretje, maar ransomware is wel een bijzonder akelige. Ransomware zorgt er namelijk voor dat jij en je collega’s op je website worden buitengesloten omdat er door een hacker een versleuteling en extra blokkades aan toe zijn gevoegd. Hiermee wordt de website gegijzeld en krijg je twee keuzes: of de persoonlijke gegevens van jezelf, (iedereen binnen) je bedrijf en je klanten worden op straat gegooid, of je betaalt een flinke som losgeld. Ransomware is altijd een hele kostbare grap, niet alleen omdat het altijd om exorbitante bedragen aan losgeld gaat, maar ook omdat de kans groot is dat je klanten jouw website niet meer vertrouwen.

Je kunt ransomware voorkomen door nooit software of bestanden te downloaden en te installeren die je niet volledig vertrouwd. Bedenkelijke software of bestanden kunnen namelijk een ingang voor ransomware vormen. Het is ook belangrijk om op je website altijd goede antivirus software op de achtergrond te laten draaien. Dit detecteert verdachte activiteiten en de aanwezigheid van ransomware. Als laatste is het essentieel om de website veilig en beschermd te houden. Wacht bijvoorbeeld nooit te lang met het installeren van updates.

DDos

4. DDoS

De meest bekende bedreiging voor websites is wel de DDoS aanval, met name omdat een DDoS aanval op een grote en bekende website meestal aardig wat aandacht van de media krijgt. DDoS staat voor een ‘Distributed Denial of Service’ aanval en wordt door meerdere hosts tegelijkertijd uitgevoerd. Hiermee wordt de capaciteit van online diensten of de ondersteunende servers en netwerkapparatuur aangevallen. Het resultaat is dat de website slecht of helemaal niet meer bereikbaar is voor medewerkers en klanten. Ze krijgen letterlijk een ‘Denial of Service’ en dit vormt daarmee een reële bedreiging voor alle organisaties met een online dienstverlening waarvan de continuïteit essentieel is.

Het voorkomen van een DDoS aanval is eigenlijk bijna hetzelfde als het voorkomen van een inbraak in je huis. Je kunt het niet volledig tegengaan, maar je kunt het kwaadwillenden wel zo moeilijk mogelijk maken. Dit doe je door:

  • Speciale software tegen DDoS aanvallen te installeren. Voorbeelden zijn Arbor Networks en Fortinet;
  • Een Next Generation Firewall te gebruiken;
  • Een ‘wasstraat’ te gebruiken waarbij ‘schoon’ netwerkverkeer van ‘kwaadaardig’ verkeer wordt gescheiden;
  • Het netwerkverkeer goed in de gaten te houden. Bij een DDoS aanval zie je extreem veel netwerkpakketten met ongeveer dezelfde karakteristieken;
  • Switches en routers te gebruiken. Deze vertragen het internetverkeer zodat er ongewenst verkeer makkelijker uit gefilterd wordt.

Bruteforceattack

5. Brute Force aanval

De laatste, maar zeker niet de minste is de zogenaamde Brute Force aanval. Dit is een aanval die continu probeert om in te loggen om toegang te krijgen tot een bepaald (gedeelte van een) systeem. En dat gaat – zoals de naam al zegt - met brute kracht. Met speciale bots, tools of scripts worden er tientallen tot honderden inlog combinaties per minuut op de website afgevuurd om zo het wachtwoord te achterhalen. Een wachtwoord van 8 tekens kan in minder dan 6 uur worden gekraakt. Hoe moeilijker en betrouwbaarder een wachtwoord is, hoe moeilijker het zal zijn om het te kraken. Let daarom op de volgende tips om een Brute Force aanval te voorkomen:

  • Kies voor een lang wachtwoord met een mix van letters, cijfers en tekens;
  • Zorg ervoor dat het wachtwoord geen enkele betekenis heeft;
  • Stel regelmatig een nieuw wachtwoord in.

Zo ga je bedreigingen voor je website het beste te lijf

Nu heeft het voorkomen van iedere bedreiging voor je website weer een andere aanpak, en dat is best verwarrend. Je bent al goed bezig als je de basis in ieder geval op orde hebt. Die basis kun je vervolgens uitbreiden met specifieke maatregelen voor bijvoorbeeld DDoS aanvallen. Dit is de basis om bedreigingen en aanvallen te voorkomen:

  • Pleeg regelmatig onderhoud aan de website. Hiermee zorg je ervoor dat zowel de website als eventuele plugins op tijd een update krijgen;
  • Ga niet voor de eerste de beste hosting service, maar kies nadrukkelijk voor een veilige en dedicated hosting;
  • Zorg ervoor dat er regelmatig backups van de volledige website worden gemaakt. En let er vooral op dat dit geen standaard service van je hosting aanbieder is.

Websafe

Elke maand voeren wij achter de schermen het onderhoud aan jouw website of webapplicatie uit, zodat jij altijd met de laatste security updates werkt. Elke wijziging aan je weboplossing testen we uitvoerig in een testomgeving, zodat alles werkt zodra de weboplossing live staat. Hackers? Daar houden we niet van en daarom laten we die buiten de deur. Back-ups? Dat vinden we altijd een slim idee, dus die maken we standaard voor je. 

Met Websafe krijg je support op alle fronten. Voor jezelf, je medewerkers en zelfs een externe partij. Voor kleine en grote vragen over je applicatie, je website, Drupal of WordPress kun je contact met ons opnemen. Jouw spin in het web van d-Media helpt je verder en geeft je een helder antwoord in klare taal, zodat je het ook aan jezelf en anderen kunt uitleggen.

Lex Verhoof
Lex VerhoofManager operations & Projecten beheer

Lex begrijpt jouw marketingbehoeften en tackelt elk vraagstuk met een duidelijk einddoel voor ogen. Hij is jouw gids voor gerichte acties, efficiënte planningen en doelgerichte projectbegeleiding, zodat je je ambities kunt realiseren.

Onze blogs in jouw mailbox
Ontvang onze blogs met tips, inspiratie en nieuwtjes in je mailbox. Meld je hier aan en ontvang de nieuwste blogs als eerste!