Iedereen kan zich er wel een voorstelling bij maken dat het absoluut niet handig is als een hacker een website weet over te nemen. Maar: wat zijn dan goede manieren om de website security te verbeteren en dit te voorkomen?
Website security verbeteren
In dit artikel geven onze ethisch hackers 6 maatregelen om uw website security te verbeteren. We nemen hierin zowel beproefde als opkomende maatregelen mee.
Wat is website security?
De naam zegt het eigenlijk al: website security is het waarborgen van de veiligheid van een website. Dit kan richting de gebruiker zijn, maar (vooral) ook richting de organisatie. Wie bezig is met website security kijkt kritisch naar potentiële website risico’s en neemt maatregelen die te verkleinen.
Wat zijn website security risico’s?
Een gat in de security van een website kan tot van alles leiden. Of niets. Maar het risico is er. Zo is er bijvoorbeeld een risico op datalekken: denk aan toegang tot gevoelige informatie die in de website of applicatie is opgeslagen.
Maar ook defacement. Dat houdt in dat de hacker uw website vult met schadelijke content zoals eigen propaganda. Niet goed voor uw reputatie. Daarnaast is er een risico op malware-infecties of een te lange downtime (waardoor webshops bijvoorbeeld sales mislopen).
Tot slot een – misschien – verrassend risico: SEO-schade. Wie zich bezighoudt met Search Engine Optimization gaat hier flink van balen. Want als hackers schadelijke links op uw website plaatsen, dan kan dat impact hebben op uw rankings in Google.
Website security verbeteren: de 6 tips
Nu de tips voor een betere website security. We hebben ze hieronder op een rij gezet:
1. Extra authenticatiefactoren
Stel, een aanvaller achterhaalt de inloggegevens van het adminaccount van jullie website. Dan is dit al voldoende om volledig toegang te krijgen. Het is niet alleen verstandig te zorgen voor een complex wachtwoord, maar ook voor een extra authenticatiefactor. Bijvoorbeeld 2FA die werkt met een authenticatiecode. Of zelfs MFA die om meerdere authenticatiefactoren vraagt.
Hoe meer factoren hackers nodig hebben om toegang te krijgen, hoe kleiner de kans dat het ze daadwerkelijk lukt.
2. Botdetectie (en mitigatie)
Geautomatiseerde bots (bijvoorbeeld vanuit een botnet) zijn niet-menselijk websiteverkeer. Websiterobotjes dus. Ze vormen alleen een dreiging wanneer aanvallers ze inzetten om bijvoorbeeld een DDoS-aanval te plegen. Dan schieten er enorm veel bots tegelijk op uw website af. Het doel: deze overbelasten en platleggen.
Tegenwoordig zijn bots goed te detecteren en te weren (mitigeren). Zo zijn er technologieën die kunstmatige intelligentie inzetten om kwaadwillende bots te herkennen en te weren.
3. Security Headers
Het is een technisch verhaal om de werking van Security Headers in detail uit te leggen. Maar het komt erop neer dat het stukjes informatie zijn die de webserver naar de browser stuurt om deze te “vertellen” hoe die zich veilig moet gedragen bij een website bezoek.
Voorbeelden van dit soort Security Headers zijn: Strict-Transport-Security (HSTS) en X-XSS-Protection.
Security Headers zijn onmisbaar om de security van een website te verbeteren. Zeker de moeite waard uw websitebouwer of webbureau te vragen of deze headers al geïmplementeerd zijn. Grote kans dat ze precies weten waar u het over heeft.
4. Web Application Firewall (WAF)
U bent vast bekend met Firewalls: een virtuele muur die kiest welk verkeer wel binnen mag komen en welk verkeer niet. In het geval van een WAF controleert deze op verdachte activiteiten binnen het verkeer van een webapplicatie.
Het is een slimme aanvulling op uw website security. Maar let wel op: het klinkt alsof een Firewall magisch letterlijk alle malafide activiteiten rondom uw website tegenhoudt. Hou er alleen rekening mee dat het nooit goed is op 1 beveiligingsoplossing te vertrouwen. Want zodra de hacker met inloggegevens binnen weet te komen, kan de WAF daar dan weer niets tegen doen.
5. Runtime Application Self-Protection (RASP)
Waar een WAF een muur rondom een website is, beschermt een RASP de website juist weer van binnenuit. In de praktijk betekent dat dat er geen leerfase is voor een RASP. Een WAF wil de applicatie graag eerst beter leren kennen. Maar een RASP is onderdeel van de applicatie, waardoor deze meteen van binnenuit beschermt en zero-day attacks voorkomt.
6. Content Security Policy (CSP)
Met een Content Security Policy bepaalt u welke scripts, afbeeldingen, stijlbladen, etc. op een webpagina mogen worden ingeladen. Vooral voor websites waar gebruikers zelf content/data kunnen invoeren (denk aan social media websites en fora) is een CSP een belangrijke extra maatregel.
Want is er geen sprake van een CSP? En zijn er daardoor geen strikte regels over de scripts die op een pagina mogen worden ingeladen? Dan kan een aanvaller schadelijke code uploaden en een cross-site scripting (XSS) aanval uitvoeren.
Hoe? Simpelweg door in een reactieveld niet een normale comment te plaatsen, maar kwaadaardige script.
Nog doeltreffender aan de slag met website security
Bovenstaande maatregelen zijn universele maatregelen die elke website vooruithelpt op het gebied van website security. Maar het verbeteren van de website security houdt hier niet op.
Er ontstaan namelijk altijd unieke kwetsbaarheden in websites. Bijvoorbeeld door updates of andere veranderingen. Dat kan voor gaten in de security zorgen zonder dat u ervan op de hoogte bent.
Een pentest legt deze kwetsbaarheden bloot, zodat u in staat bent ze te verbeteren.