Sharing IT Best Practices with youSharing IT Best Practices with you
Verharden website
Het verharden van websites betekent het toevoegen van beschermingslagen om het risico van aanvallen op websites te verminderen, een proces dat bekend staat als ‘Hardening’.
Hier zijn de top 11 virtuele verhardingsprincipes:
Elk stukje software dat nodig is om onze webapplicatie te laten draaien, moeten we updaten met de nieuwste patches en beveiligingsupdates. Er zijn veel verschillende websitekwetsbaarheden, dus is het belangrijk om ons CMS bij te werken met componenten van derden, zoals plug-ins, thema’s en extensies.
Verwaarloos ook je server, apache en php niet. Ze moeten ook up-to-date zijn. Door alles up-to-date te houden, verminderen we de kans dat kwetsbaarheden onze website in gevaar brengen.
Hoe groter het aantal afhankelijkheden, hoe groter het risico op een aanval. Elk extra stuk code in je applicatie is namelijk een potentiële gateway voor een aanvaller.
Zorg ervoor dat je alleen houdt wat je echt gebruikt. Daarna moet je deze gaan verharden. Een plug-in of thema uitschakelen is niet hetzelfde als het verwijderen.
Controleer de logging op afwijkingen om al de belangrijke informatie te detecteren. Dit kan betrekking hebben op:
Handel ook naar aanleiding van deze logging. Los al de gemelde errors op en zorg voor zo min mogelijk meldingen.
Sta alleen openbare toegang toe tot openbare delen van je webapplicatie. Weiger standaard al het andere verkeer. Zoek daarna de toegangspunten van je website om deze te verharden.
Dit kan je bereiken met serverconfiguratieregels, het instellen van bestands- en mappermissies en door het gebruik van een firewall voor webapplicaties.
Geef precies op wat voor soort gegevens je van de gebruiker verwacht:
Vertrouw de gebruiker nooit en filter altijd nauwkeurig wat er naar de webapplicatie wordt verzonden. Onbedoelde schade kan net zo schadelijk zijn als opzettelijke schade.
Beperk wat elk lid van je team kan doen en zorg ervoor dat ze niet meer rechten hebben dan nodig. Het verlenen van beheerdersrechten aan iedere gebruiker is namelijk een beveiligingsrisico dat je kunt beperkt met de juiste machtigingen.
Als je een auteur hebt die bijdraagt aan je website, dan heeft hij deze geen beheerdersrechten nodig. Dit is bovendien een betrekkelijk simpele manier om je webapplicatie te verharden.
Bepaalde gebieden van je applicatie hebben beperkende toegangsniveaus nodig en wil je verharden. De beste manier om te garanderen dat de persoon die toegang heeft geen aanvaller is, is vragen om een token na de initiële authenticatiemethode (meestal een wachtwoord). Dit is namelijk precies is wat 2FA-tools doen.
Handhaaf een minimale sterkte voor wachtwoorden en stel ook een vervaldatum in. Zodoende zullen de wachtwoorden altijd sterk en vers zijn. Gebruik bovendien hulpmiddelen voor wachtwoordbeheer om het gebruik van sterke unieke wachtwoorden af te dwingen. Denk aan Keeper als wachtwoord manager:
Get 30% Off 3 Year Plans for Keeper Unlimited and Keeper FamilyVoorkom dat directe toegang van openbare hotspots tot de webapplicatie is toegestaan. Je kunt die doen door alleen het gebruik van een beveiligd kanaal, zoals een Business VPN of proxy, toe te staan. Zorg er echter in ieder geval voor dat beheerders alleen toegang hebben vanaf veilige apparaten.
Alle webapplicaties moeten van een SSL certificaat zijn voorzien om ervoor te zorgen dat al het verkeer is gecodeerd. Dit is al eenvoudig vast te stellen door te controleren op een gesloten hangslotje in de browser.
De melding “Wachtwoord is onjuist”, kan je ook vervangen door “Inloggegevens ongeldig”. Dit soort verminderde verbositeit kan de kans op een succesvolle brute force-aanval namelijk verkleinen. Je introduceert namelijk twijfel of de gebruikersnaam wel correct is.
Gevoelige data mag je niet in de logging schrijven en deze logging mag bovendien niet openbaar toegankelijk zijn. Het gebruik van een interne foutcode kan de hoeveelheid weergegeven informatie verminderen en eenvoudig debuggen toch mogelijk maken.
Na de installatie en activering van een firewall, hoef je je minder zorgen te maken over het up-to-date houden van beveiligingsplug-ins en configuraties. Je moet echter nog steeds je goeie beveiligingsgewoonten voor wachtwoorden en rechten in stand houden. Door de beveiliging van je webapplicatie echter uit te besteden bespaar je tijd en geld. Bovendien kan je jezelf dan meer concentreren op de kernactiviteiten van je bedrijf.
Discussieer mee op LinkedIn.
Mogelijk is dit een vertaling van Google Translate en kan fouten bevatten. Klik hier om mee te helpen met het verbeteren van vertalingen.