Hoe maak je een website veilig?

Hoe maak je een website veilig?

In deze tijd van ransomware, datalekken en privacywetgeving is een passende beveiliging van je website noodzakelijk. Gewoon om praktische redenen. En ook als je geen gevoelige informatie ontsluit, kan het prettig zin om een veilige website te hebben. Omdat dat vertrouwen geeft. “kijk,” denk je dan, “deze organisatie heeft zijn zaken op orde.” Zelfs als het niet opvalt is er geen man overboord, maar je wordt erg ongelukkig als je bezoekers zien dat je het niet voor elkaar hebt. Hoe zorg je daar nu voor?

Het begint bij de basis
Allereerst is een veilige server nodig om de website te hosten. Wie kan erbij, wie mag erbij? Welke adressen en poorten zijn bereikbaar vanaf het internet? Staan de gevoelige gegevens op de webserver zelf (nee toch!)? Staan de servercertificaten leesbaar op de server? Wordt de server op tijd van de juiste patches voorzien? Dit heet in vaktaal serverhardening en het is een randvoorwaarde om een website veilig te maken. Je moet bouwen op een stevig fundament. Staat je website ‘in de cloud’, bij een hostingprovider? De meeste providers doen het goed, maar zorg dat je weet wat je op dit gebied hebt afgesproken.

Een veilige applicatie
De meeste websites maken gebruik van een CMS en/of een interactieve applicatie. Deze moet veilig geprogrammeerd en toegepast zijn. Gebruik je een database met persoonsgegevens? Staat die op de webserver (nee toch!)? Heb je gebruikersaccounts? Waar staan de wachtwoorden? Zijn die leesbaar opgeslagen (nee toch!)? Is de applicatie gevoelig voor SQL-injection?
Veilig programmeren is goedkoper en werkt beter dan later maatregelen nemen om de gaten te dichten. Denk daaraan als je iets nieuws begint of overstapt naar een nieuw product.

Een veilige website
En dan het publiceren van de website zelf. Uiteraard heb je een goede firewall (de meeste hostingproviders hebben dit goed voor elkaar) en een geldig servercertificaat van een bona fide uitgever. Je zet onveilige verbindingen (http) automatisch om in veilige (https). En zorgt dat de HTML zo veilig mogelijk is.

Referentie
Hoe weet je nu dat je goed zit met je website? Bijvoorbeeld door het toepassen van de OWASP-standaarden. Deze worden voortdurend bijgewerkt. Door de maatregelen op de website langs deze meetlat te leggen krijg je een heel aardig beeld van het beveiligingsniveau van je website. De belangrijkste elementen kun je online testen o.a. met securityheaders.io

Reageren is niet mogelijk.
Secured By miniOrange