Ook MKB-bedrijven zijn het doelwit van cybercriminelen.
De laatste twee jaar verschenen er nogal wat berichten over bedrijven waarvan de website ‘plat’ werd gelegd door cybercriminelen. Pas na het betalen van stevige bedragen was de betreffende onderneming weer bereikbaar voor zijn klanten. Recent nog een keten van tandartspraktijken en in het voorjaar Artis in Amsterdam. In beide gevallen was de impact enorm. Het ondernemen is op zo’n moment compleet ontregeld.
“Mijn bedrijf is te klein om iets te halen”
Dit zullen veel ondernemers denken en daardoor kan het juist mis gaan. De cybercriminelen zoeken namelijk de weg van de minste weerstand en kijken pas dan wat er eventueel te halen valt. Zelfs als het losgeld bij ransomeware meevalt en je weer snel in de lucht bent dan moet je nog maar afvragen wat er gedaan wordt met de klantinformatie die is opgeslagen in de database van de website.
Veiligheid is belangrijker dan een laag maandbedrag voor hosting
Door MKB-ondernemers wordt er vaak redelijk geïnvesteerd in de ontwikkeling van een goede website. Alleen te vaak wordt er daarbij gekozen voor goedkope hosting om de terugkerende maandelijkse kosten laag te houden. Een mooi voorbeeld hoe goedkoop uiteindelijk duurkoop blijkt te zijn.
Wat zijn de belangrijkste veiligheidsaspecten bij hosting?
Voor wat betreft de veiligheid van (WordPress) website zijn er diverse zaken die goed geregeld moeten zijn:
- Veilig doorvoeren van updates van templates, plug-ins en WordPress core zelf;
- Regelmatige malware-scans op serverniveau;
- Een software- en hardware matige firewall;
- Extra DDoS protectie;
- Gebruik van de laatste PHP versie (HardenedPHP);
- Regelmatige externe backups.
Onderaan deze blog kun je lezen wat dit punt voor punt inhoudt
Maar dit biedt toch iedere hostingaanbieder?
Was dat maar waar. Je zou denken dat het vanzelfsprekend is dat alle hosting bedrijven dit standaard aanbieden. Dit is helaas niet zo! De reden waarom hostingbedrijven niet deze acties ondernemen is:
- Het meer resources (en dus geld) kost om malware scans, backup-servers en routines in te richten en te onderhouden;
- Er voor extra backups ook extra serverruimte nodig is die ze liever aan hostingklanten verkopen.
- Het afstemmen van de firewall/modsecurity specifiek op individuele websites meer tijd in beslag neemt
- Niet elke hostingpartij gespecialiseerd is in WordPress
Daarnaast wordt een deel van de werkzaamheden als optie aangeboden of uit het abonnement gelaten zodat de hosting goedkoop kan worden aangeboden.
Managed WordPress Hosting biedt uitkomst
Zowel eindgebruikers als websiteontwikkelaars krijgen dus veel op hun bordje als het om veiligheid gaat. Voor de eerste gaat dat ten koste van het ondernemen en voor de designer ten koste van zijn of haar creativiteit. Precies om die reden zijn wij in 2015 gestart met het aanbieden van Managed WordPress hosting. Alle zaken waar wij zelf als ontwikkelaar al vanaf 2009 tegenaan liepen, maar wat ik wel goed voor mijn klanten wilde regelen, aanbieden als full-service dienstverlening.
Altijd persoonlijk contact!
WP Provider is dus geboren uit persoonlijke behoefte aan ultieme hosting en persoonlijk contact als het erop aankomt. Door en voor WordPress liefhebbers. En dit laatste blijft beheersbaar door alleen via webdesigners deze service aan te bieden. Wij focussen 100% op de hosting en de designer op het ontwerp voor zijn klant. Heb je hier vragen over. Bel dan gerust een keer om demogelijkheden te bespreken.
Marco Kroon
__________________________________________________________
Voor de fijnproevers…
Zoals beloofd hieronder nog een uitleg van de zes belangrijkste punten voor een veilige website:
Malware-scans
Malware staat voor “malicious software” Het is een uitgebreide term voor schadelijke code die hackers gebruiken om onbevoegde toegang te krijgen or schade aan te doen aan je WordPress website. In de meeste gevallen zal een bot of hacker gebruik maken van een beveiligingslek. Indien een plugin niet meer wordt ondersteund door de ontwikkelaars en er dus geen updates meer voor worden uitgebracht is het van belang dat hier actief actie op ondernomen wordt.
Je wilt absoluut voorkomen dat jouw website een SEO penalty krijgt door Google, daarom voeren wij diverse scans uit op serverniveau waaronder onze WP eXploit scanner tool dat bestanden actief scant wanneer ze naar de server worden geupload door middel van bijvoorbeeld FTP of via WordPress direct. Het kan verdachte bestanden op de server detecteren en voorkomen dat de meeste (met uitzondering van zero-days (de niet bekende exploits) worden geüpload of uitgevoerd op de server.
Software & hardware matige firewall
Door onze firewall oplossing worden niet gebruikte poorten afgesloten, toegang tot bepaalde services afgeschermd en logs continu gescand op verdachte activiteit zoals een verdacht aantal loginpogingen tot WordPress of de e-mailboxen. IP-adressen en ranges worden geblacklisted zodat de aanval wordt gestopt. Het herkent veel verschillende aanvallen zoals poort-scans, SYN-floods en brute-force aanvallen.
DDoS protectie
Indien het om een Ddos aanval gaat is dit soms niet voldoende en wordt het Ddos protectie-shield ingeschakeld. Onze proactieve, realtime monitoringmogelijkheden detecteren en elimineren aanvallen met een hoog volume effectief. Wanneer wij te maken krijgen met een DDoS-aanval, scheidt het DDoS Shield schoon verkeer terwijl de aanval wordt omgeleid naar ons DDoS-scrubcentrum. Ook hebben wij Modsecurity standaard actief voor jouw account wat ervoor zorgt dat verdachte verzoeken direct uitgefilterd worden.
Security-headers
HTTP security headers zijn naar mijn mening een fundamenteel onderdeel van website beveiliging. Door geschikte headers op server of applicatie-niveau (WordPress) in te schakelen, kun je de weerbaarheid van het CMS tegen veel voorkomende aanvallen, waaronder cross-site scripting (XSS) en clickjacking, verbeteren.
Wanneer een gebruiker een site bezoekt via zijn browser, antwoordt de server met HTTP Response Headers. Deze headers vertellen de browser hoe hij zich moet gedragen tijdens de communicatie met de site. Door de juiste security-headers toe te passen zet je een goede stap richting een veiligere website.
Hardened PHP
WordPress beveelt aan dat altijd de laatste PHP-versie gebruikt wordt (en wij ook). Natuurlijk is dit in de praktijk niet mogelijk omdat er bijvoorbeeld custom plug-ins geschreven zijn voor een oudere PHP-versie of dat ontwikkelaars van plug-ins hun plug-in nog niet herschreven hebben voor de nieuwste PHP-versie. Als er dan toch een update van de PHP-versie wordt uitgevoerd resulteert dit in het slechtste geval in een fatal error waardoor de website niet meer te bereiken is. Om deze reden gebruiken wij HardenedPHP, een manier om oudere PHP-versies te kunnen blijven gebruiken zonder de beveiliging in gevaar te brengen.
Zeer populaire versies van PHP, die in bijna 85% van alle PHP-sites worden gebruikt, worden niet meer ondersteund door de PHP.net-gemeenschap. HardenedPHP beveiligt oude en niet-ondersteunde versies van PHP – 4.4.9, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 7.0, 7.1, 7.2.
HardenedPHP beveiligt oude, en niet-ondersteunde versies van PHP. In die oude versies, inclusief de veelgebruikte 7.2, 7.1, 7.0 en 5.6, worden kwetsbaarheden, zelfs als ze ontdekt worden, niet gepatcht door de PHP.net-gemeenschap. HardenedPHP regelt dit allemaal.
PHP vertegenwoordigt meer dan 79,2% van alle server-side scripts. Vanwege dit brede toepassingsgebruik wordt PHP voortdurend uitgebuit door hackers, waardoor sites kwetsbaar worden.
HardenedPHP houdt uw klanten en servers veilig door alle PHP-versies te patchen tegen bekende kwetsbaarheden – zelfs die versies die niet worden ondersteund door de PHP.net-community. Er zijn meer dan 100 kwetsbaarheden ontdekt, waarvan er vele kritiek waren, voor de niet-ondersteunde versies van PHP. Ze zijn allemaal gepatcht door CloudLinux.
Backups
Indien er toch iets gebeurt wees dan niet ongerust, wij kunnen voor jou direct een backup herstellen. Naast totale snapshots van alle servers op het platform (tegen ransomware) worden ook backups gemaakt van de WordPress installaties. Omdat wij voorstander zijn om backups van backups te maken worden deze ook nog eens extra gebackupped off-site in een ander datacenter.
Wat als er toch iets gebeurt?
Standaard maken wij dagelijkse backups van jouw WordPress website. In het ergste geval kunnen we terug in de tijd naar het moment dat de website nog geheel functioneerde.
Wat als er iets gebeurt met de backups?
Ook daar hebben wij aan gedacht. Maak altijd backups van jouw backups.
Naast volledige snapshots exporteren wij onze backups ook off-site naar een andere veilige locatie in een ander datacentrum.
Blijf in beweging
“Een website beveiligen is als fietsen. Om je evenwicht te bewaren, moet je blijven bewegen.” Zo zou het beroemde fiets citaat van Albert Einstein eruit hebben gezien als hij een cyber security-professional was geweest. Gelukkig (of niet) was hij dat niet. Maar om de analogie met de fiets aan te houden: je kunt niet stoppen met trappen. Op het moment dat je dat wel doet, gaat de fiets langzamer en val je uiteindelijk gewoon om. En dat willen we nu juist voorkomen. Maar als het op fietsen aankomt, zijn niet alle pedaalslagen hetzelfde. Sommige zijn soepel, andere zijn hard, sommige zorgen ervoor dat je kortere afstanden aflegt, terwijl je over andere langer doet.