Checklist websitebeveiliging 2022: Je e-commerce winkel veilig houden

Nu steeds meer mensen alleen nog maar online winkelen, is het zorgen voor een veilige en betrouwbare e-commerceomgeving nog nooit zo belangrijk geweest. Het is niet leuk om met hackpogingen, dataminers of DDoS-aanvallen te moeten dealen. Gelukkig zijn er verschillende dingen die je kunt doen om de beveiliging van je website in eigen handen te nemen en je te verdedigen tegen attackers die voor je deur staan. Het leek ons een goed idee om enkele van de beste acties uit te leggen die je kunt uitvoeren om je webshop in 2022 te beveiligen.

Sterke wachtwoorden en two-factor authenticatie

Het lijkt misschien een vanzelfsprekende tip, maar toch zijn wachtwoorden nog steeds een verrassend veelvoorkomende factor bij succesvolle hacks en website-aanvallen. Wachtwoorden met lange en complexe combinaties van letters, cijfers en symbolen maken een account veel moeilijker te compromitteren. Dit gezegd hebbende, zijn wachtwoorden slechts een eerste verdedigingslinie en houdt websitebeveiliging daar nog lang niet op. Het gebruik van een extra authenticatie laag, bekend als 2-factor authenticatie of 2FA, is dan ook best practice geworden. 2FA voegt een extra laag toe die voor indringers moeilijker toegankelijk is. Denk bijvoorbeeld aan een eenmalige QR-code of wachtwoord verbonden via een onafhankelijke authenticatie-app, of een eenmalige code die naar je telefoonnummer wordt gestuurd.

Gebruik veilige cookies

Beveiligde cookies kunnen alleen worden verzonden via een SSL-gecertificeerde verbinding. De extra laag bescherming tussen server en cliënt houdt in dat alle informatie in cookies versleuteld is en beschermd tegen nieuwsgierige blikken. Om veilige cookies te kunnen gebruiken, moet je website sitewide SSL gebruiken.

SSL voor de hele site gebruiken

Het slotpictogram dat naast het webadres in je browser verschijnt, geeft aan dat je momenteel een SSL-verbinding gebruikt. Een SSL-certificaat is een extra laag beveiliging die je bezoekers beschermt door alle communicatie tussen je servers en de browsers van je klanten te versleutelen. Wanneer je een SSL-certificaat gebruikt, is het erg belangrijk dat dit voor de hele site geldt, en niet slechts voor een paar pagina’s. Dit laatste zou betekenen dat bezoekers worden teruggestuurd tussen versleutelde en niet-versleutelde verbindingen, waardoor ze kwetsbaar worden. Zorg ervoor dat je SSL-certificaat geverifieerd- en up-to-date is met de laatste beveiligingswijzigingen.

Overweeg adresverificatiesystemen

Het gebruik van een adresverificatiesysteem of AVS is een manier waarop e-commercewebsites proberen te voorkomen dat kwaadwillenden zich voordoen als echte klanten, en frauduleuze betalingen afwijzen. Deze systemen proberen de gegevens die de klant tijdens de klantreis aanlevert te verifiëren. Gegevens die hier niet aan voldoen, kunnen een aanwijzing zijn voor fraude of een veiligheidsrisico. AVS is natuurlijk geen perfecte oplossing en heeft nadelen, zoals een verhoogd aantal valse afwijzingen of een gebrek aan ondersteuning voor alle gangbare betalingsmethoden. Desondanks is het een veelgebruikte tool in het arsenaal aan websitebeveiliging, grotendeels dankzij het vermogen om betalingsfraude te detecteren.

Gebruik een VPN

Gevoelige gegevens zijn over het algemeen veel kwetsbaarder op openbare netwerken. Door een Virtual Private Network of VPN te gebruiken, kun je de toegang tot deze gegevens voor de meeste kwaadwillenden afschermen. In wezen creëert het een beschermde tunnel voor alle gevoelige gegevens die je mogelijk hebt. Dit versleutelt gegevens voordat het een openbaar netwerk binnenkomt, dat alleen kan worden ontsleuteld zodra het de doelserver bereikt.

Verberg je HTTP-headers – verberg je webhostprovider en versie

HTTP-headers kunnen worden gebruikt om extra informatie tussen de cliënt en de server te delen. Ze komen heel vaak voor en worden door bijvoorbeeld leveranciers gebruikt om het marktaandeel voor serverhosting bij te houden. Het tonen van het type en/of versie van de webserver, hoewel dit in sommige gevallen nuttig is, kan een goede manier zijn om de inspanningen van kwaadwillenden te verfijnen en te versnellen. De reden hiervoor is dat ze direct kunnen zoeken naar kwetsbaarheden en openingen die specifiek zijn voor jouw webserver. Het beste wat je kunt doen, is deze koppen verbergen. Het betekent meer werk voor potentiële aanvallers en vormt daarmee een extra laag bescherming voor jouw website en je gebruikers.

Houd je software up-to-date

Updates hebben de neiging om onder de radar de verdwijnen. Toch zijn er goede redenen waarom er jaarlijks zoveel updates worden uitgebracht en een groot deel hiervan is beveiligings-gerelateerd. Dit kunnen nieuw ontdekte kwetsbaarheden, mazen in bestaande beveiligingssoftware of aanvullende beveiligingsfuncties of -standaarden zijn. Op de hoogte blijven van al je softwareversies is niet de meest opwindende taak, maar daarom niet minder belangrijk.

Maak een back-up van je website

Het maken van een back-up van je website is een goede manier om ervoor te zorgen dat je geen last hebt van beschadigde gegevens of gegevensdiefstal. Het beste is om back-ups zo te plannen dat ze consistent en up-to-date zijn. Fallout door het ontbreken van een back-up kan extreem rommelig zijn. Je kunt alles verliezen waarbij je in sommige gevallen weer terug bij af bent en alles weer helemaal opnieuw moet opbouwen. Gelukkig kan dit eenvoudig worden voorkomen, daarom zijn back-ups een goed idee voor iedereen die een website heeft of gevoelige gegevens opslaat.

DDoS-verdediging

Een gedistribueerde denial-of-service-aanval of DDoS kan je server overspoelen met verzoeken of pakketten totdat de server zo zwaar onder druk komt te staan dat hij niet meer kan reageren op echte verzoeken van bezoekers. Kijk hier voor meer informatie over DDoS-aanvallen en hoe we ze behandelen bij Hypernode.

Sterke malwarebescherming

Malware-aanvallen vormen een gevaar voor  klantgegevens en kunnen ondanks SSL-beveiliging en een versleutelde serververbinding via VPN toch hun weg vinden. Een deel van het voorkomen van malware is het aanpakken van het menselijke element en ervoor zorgen dat iedereen in je bedrijf wordt onderwezen in de basisprincipes van cyberbeveiliging. Er zijn ook tools die je e-Commerce-website kunnen scannen en vormen van malware kunnen detecteren om zo te voorkomen dat ze nestplaatsen vinden. Hypernode bevat een malwarescanner, zie onze support pagina voor meer informatie.

Zorg voor een veilig online afrekenproces

Veilige betalingssystemen zijn vrijwel een must voor elke e-commerce winkel. Dit is een PCI-compatibele tool die informatie kan versleutelen die tijdens het betalingsproces wordt overgedragen. De Payment Card Industry Data Security Standard, of PCI DSS, is een wereldwijde standaard voor gegevensbeveiliging die door de meeste leveranciers van creditcardsystemen wordt ondersteund. Het is van essentieel belang voor de veiligheid van je klanten dat je ervoor zorgt dat je website en/of je handelaarsserviceprovider een PCI-compatibele manier heeft waarop klanten kunnen betalen.

Tijd voor een adempauze

Geen enkele gids voor het beschermen van je e-commerce winkel kan alles dekken, hoe uitgebreid ook. Maar door maatregelen te nemen om je gegevens en je klanten te beschermen, kunt jij je blootstelling aanzienlijk verminderen en een beetje gemakkelijker slapen. Als je kunt, probeer dan zoveel mogelijk van deze best practices toe te passen. Het beste wat we kunnen doen, is waakzaam blijven en op de hoogte blijven van best practices. Op die manier kunnen we proberen om slechte actoren een stap voor te blijven en klanten en commerciële prestaties veilig te stellen.