Argeweb Academy les 10 – Veiligheid van je website
Veiligheid van je website
Hi trouwe Argeweb Academy volgers!
Welkom bij les 10 van Argeweb Academy. Wat zijn we goed bezig, vind je niet?
In deze les gaan wij een belangrijk onderwerp bespreken, namelijk: de veiligheid van je website. Je hebt de afgelopen weken hard gewerkt aan je website. Als het goed is heb je deze (bijna) af en kan je je website live zetten. Heb je ook al een online housewarming gegeven? Niets is zo leuk dan aan anderen te laten zien dat je zo’n gave website hebt gemaakt!
In deze les gaan wij verschillende onderwerpen omtrent veiligheid behandelen. Wij willen je vooral bewust maken van het feit dat je net een heel mooie website hebt gemaakt, hier tijd in hebt gestoken maar dat dat niet betekent dat je nu geen omkijken meer hebt naar je website. Natuurlijk heb je het uiterlijk van je website helemaal af en daar hoef je voorlopig niet veel meer voor te doen (behalve het up-to-date houden van je teksten ;-)). Maar aan de achterkant (je CMS bijvoorbeeld), zijn er regelmatig updates die je uit moet voeren. Het is natuurlijk van groot belang dat je weet waar jij rekening mee moet houden.
Naast dat wij willen dat je zelf je best doet om je website goed te beveiligen, is het ook belangrijk dat je weet dat wij vanuit Argeweb ook ontzettend ons best doen om ervoor te zorgen dat je website betrouwbaar en veilig is.
Waarom is veiligheid nou zo belangrijk? Dat komt vooral omdat er vaak hackers op de loer liggen en daar mag en wil jij niet de dupe van worden.
Hackers
Je hebt vast weleens van hackers gehoord. Een hacker is een persoon die de beveiliging van je website weet te kraken en hiermee zonder toestemming toegang krijgt tot bijvoorbeeld jouw CMS. Zo kan een hacker je website ‘kapot’ maken, wat natuurlijk heel zonde zou zijn. Je hebt immers niet voor niets zo hard aan je website gewerkt.
Tip!
Om ervoor te zorgen dat hackers minder snel in je WordPress omgeving in kunnen loggen, is het belangrijk dat je een goede gebruikersnaam en goed wachtwoord kiest. Veel mensen gebruiken ‘admin’ als gebruikersnaam. Hackers weten dit en gaan dat als één van de eerste namen proberen. Zorg daarom voor een unieke gebruikersnaam en een moeilijk wachtwoord. Soms kan het helpen om met cijfers, letters en hoofdletters een wachtwoord te kiezen wat totaal nietszeggend is, maar wat jij uit je hoofd kan leren en wat dus bijna onmogelijk is om te kraken.
Automatische updates
We hebben in Argeweb Academy vooral gefocust op het CMS WordPress. Dit hebben we expres gedaan omdat we weten dat veel klanten van ons hier gebruik van maken en ook omdat het een veelgebruikt systeem is. Dat het veelgebruikt is, is een groot voordeel en tegelijkertijd is het ook een nadeel. Hackers weten dat het een veelgebruikt CMS is en zullen daarom vaak op zoek gaan naar iets dat zij hierin kunnen hacken, omdat zij dan in één keer veel sites kunnen hacken.
Om te voorkomen dat je echt veel risico loopt om gehackt te worden, is het belangrijk dat je je website en je plug-ins regelmatig updatet. Als je bij Argeweb je website host, kan je instellen dat de beschikbare updates in WordPress automatisch uitgevoerd worden. Dit geldt voor alle updates die beschikbaar zijn in WordPress, zowel van het CMS zelf als van de plug-ins die je hebt gebruikt. Heerlijk natuurlijk als je daar zelf geen omkijken naar hebt en er sowieso zeker van bent dat je website up-to-date is.
Misschien weet je uit je hoofd of je de updates voor WordPress automatisch in hebt gesteld. Mocht dit niet zo zijn, dan hierbij een kort stappenplan hoe je dit in kan stellen:
1. Ga naar de Mijn Argeweb
2. Ga naar ‘Beheren–>Webhosting’
3. Klik op ‘Script Installer’
4. Log in met je FTP wachtwoord
5. Het scherm met je geïnstalleerde applicaties komt automatisch tevoorschijn
6. Zoek je WordPress applicatie en klik hierop, alle instellingen worden geladen
7. Scrol naar beneden en je ziet op een gegeven moment ‘Automatische update’ staan. Hier kies je uit drie opties. Om ervoor te zorgen dat alle updates uitgevoerd worden, kies je voor optie 3 ‘Maak een back-up en bij te werken naar alle nieuwe versies’.
8. Vervolgens heb je ook opties voor automatische updates voor plug-ins en thema’s en sowieso voor automatische updates. Dit kan je allemaal inschakelen. Zo voorkom je dat je een update misloopt en dat je gegevens kwijt bent als er geen back-up is gemaakt.
Plug-ins
Plug-ins zijn veelal het doelwit van hackers. Veel mensen gebruiken een plug-in en hiermee komen hackers eenvoudig bij gegevens die je eigenlijk privé wil houden. Het is daarom ook van groot belang dat je op de volgende dingen let wanneer je een plug-in wil installeren:
1. Check hoe vaak de plug-in is geïnstalleerd: dat staat bij de plug-in aangegeven. Wanneer een plug-in maar weinig keren is geïnstalleerd, is het raadzaam een ander soortgelijke plug-in te zoeken die wel vaker is geïnstalleerd. Hoe vaker een plug-in is geïnstalleerd, hoe vaker deze geüpdatet moet worden om ervoor te zorgen dat de plug-in veilig blijft en goed blijft werken op je website, dit omdat veel mensen de plug-in gebruiken en dit uiteraard veilig moet zijn.
2. Kijk of de plug-in werkt op jouw meest recente WordPress versie. Je ziet dit staan als je op zoek bent naar een plug-in. Als de plug-in geschikt is voor de huidige WordPress versie die je hebt, dan zie je onderaan een plug-in het volgende staan:
Wanneer de plug-in niet geschikt is voor je huidige WordPress versie, dan zie je dit onderaan een plug-in staan:
We benadrukken het belang van het kiezen van een juiste plug-in. Het is echt ontzettend vervelend als je website door een verkeerde plug-in wordt gehackt.
Het is uiteraard heel belangrijk dat je website zowel voor jou als voor de bezoeker goed van kracht blijft en veilig is. Door dus automatisch te updaten en de juiste plug-ins te kiezen kan je al voor een groot deel voorkomen dat je website wordt gehackt.
Tip!
Als je een contactformulier op je website hebt, kan je deze ook beveiligen zodat je voorkomt dat er spam verzonden wordt naar jouw contactformulier. Wij hebben in les 5 ‘Contact Form 7’ geïnstalleerd en voor dit contactformulier is een plug-in beschikbaar die ervoor zorgt dat je geen spam ontvangt via je contactformulier.
Onderstaand staat kort uitgelegd hoe je deze plug-in op je website installeert.
1. We gaan er even vanuit dat je ingelogd bent op je WordPress account.
2. Klik links in het menu op ‘Plug-in’.
3. Klik op ‘Nieuwe plugin’
4. Zoek de plugin ‘Captcha’. Deze ziet er zo uit:
5. Klik op ‘Nu installeren’ en de plug-in wordt geïnstalleerd.
6. Klik daarna op ‘Plugin activeren’.
7. Ga in het menu naar contact en klik op het contactformulier dat je hebt geïnstalleerd. Je ziet dat het contactformulier er bijvoorbeeld zo uitziet:
8. Voeg vervolgens voor deze zin: <p>[submit “Verzenden”]</p>, deze regel toe:
<p>Om spam te voorkomen vragen we u de <br> onderstaande code over te typen.</p>
<p>[captchac captcha-1] [captchar captcha-1]</p>
Je contactformulier ziet er dan zo uit:
Klik op opslaan en je contactformulier is beveiligd!
SSL
Een andere manier om ervoor te zorgen dat je website goed beveiligd is, is het gebruik van een SSL certificaat.
Het kan voor jouw website belangrijk zijn om aan te tonen dat je veilig met de gegevens van jouw websitebezoekers omgaat. Bijvoorbeeld als je een webshop hebt, maar ook als je een contactformulier op je site hebt staan. Bezoekers moeten hoe dan ook hun gegevens achterlaten en zij willen uiteraard dat hier voorzicht mee om wordt gegaan. Het is dan raadzaam om een SSL certificaat af te nemen.
Je vraagt je misschien af: ‘Wat is een SSL certificaat?’ We leggen dat kort uit:
SSL certificaat
SSL staat voor Secure Socket Layer. Wanneer je een website bezoekt, zorgt een SSL ervoor dat de gegevens beveiligd worden opgevraagd en verzonden. Wanneer je normaal gesproken een website in tikt, wordt de informatie bij de server opgevraagd en op de website weergegeven. Wanneer je een SSL certificaat hebt, wordt dit opvragen en openen van gegevens beveiligd gedaan. De informatie wordt als het ware versleuteld en dat zorgt ervoor dat niet iedereen erbij kan komen. Wanneer het niet versleuteld is, is het namelijk gemakkelijk om de gegevens te onderscheppen en dan verkeerde informatie te sturen.
Vertrouwen
Wanneer je dus met klantgegevens werkt is het belangrijk dit vertrouwelijk te doen. Met een SSL certificaat doe je dat en dat laat je ook op je website zien. Dit geeft jouw bezoeker uiteraard ook vertrouwen in jouw site, wat maakt dat een bezoeker mogelijk sneller zijn of haar gegevens achterlaat of iets bij je afneemt.
Zichtbaarheid van een SSL certificaat
Wij denken dat je vast wel eens een beveiligde website hebt gezien. Je hebt verschillende soorten certificaten. Als je een normaal SSL certificaat hebt, verandert er vrij weinig aan de browserbalk. Wat wel toegevoegd wordt, is een ‘s’ na de ‘http’. De ‘s’ staat voor secure en betekent uiteraard beveiligd. Hiermee toon je aan dat je website beveiligd is.
EV-certificaat
Voor sommige bedrijven is het gunstig om een EV (Extended Validation, uitgebreid) SSL certificaat af te nemen. De website straalt dan nog meer vertrouwen uit. De adresbalk kleurt groen en de bedrijfsnaam wordt ook in de adresbalk neergezet. Daarbij verschijnt er een slotje wat aantoont dat de website beveiligd is. Dit ziet er zo uit:
Je kan dus concluderen dat een SSL certificaat belangrijk is om voor jezelf te weten dat je website goed beveiligd is en dit ook aan je bezoeker aan te tonen. Het wekt vertrouwen bij je websitebezoeker en voor sommige websites is dat van essentieel belang. Dit is iets wat je natuurlijk voor jezelf moet nagaan. Als je een webshop hebt of financiële instelling bent, dan moet je echt wel een EV-SSL certificaat afnemen. Maar als je alleen een contactformulier gebruikt is een standaard SSL certificaat ook voldoende.
DNSSEC
Een domeinnaam registreren bij Argeweb met een .NL of .EU extensie, zorgt ervoor dat je domein automatisch goed beveiligd is. Dit komt door de DNS beveiliging dat door Argeweb bij iedere .NL domeinnaam wordt gebruikt. Wat is DNSSEC?
DNS staat voor Domain Name System. Dit is een server waarin alle IP adressen en computernamen van computers staan. Wanneer je een domeinnaam invoert, wordt er een aanvraag gedaan bij de DNS server en ontvang je het IP adres. DNSSEC voegt hier een controlegetal aan toe, waarmee wordt gekeken of het IP-adres onderweg niet is aangepast. Dit voorkomt dat je ongewenst op een andere website uitkomt.
Het voordeel is dat je dus op deze manier vrijwel zeker het juiste IP-adres aanroept en dus op de juiste website uitkomt. Sinds dit jaar beveiligt Argeweb ook de .EU domeinnamen, dus mocht je een .EU domeinnaam hebben dan is deze nu ook beveiligd.
We hopen je in deze les een aantal goede voorbeelden te hebben laten zien hoe je ervoor kan zorgen dat je je eigen website veilig houdt, door hem regelmatig (eventueel dus automatisch) te laten updaten. Ook is het belangrijk dat je zorgvuldig met de gegevens van je websitebezoekers omgaat en in dat geval is een SSL certificaat eigenlijk wel een must-have.
Bedankt dat je weer mee hebt gedaan aan deze les! Je weet het: als je vragen hebt neem dan gerust contact met ons op via 085-0218861 of support@argeweb.nl.
Graag tot volgende week!