Dagelijks worden er 30.000 websites wereldwijd gehackt. 64% van alle bedrijven heeft één of andere vorm van cyber criminaliteit ervaren. Dagelijks worden meer dan 300.000 stukken malware gecreëerd.

Hoe kan ik mijn website beschermen tegen hackers?

Je hoeft geen IT'er te zijn om jezelf te beschermen tegen hackers. Er zijn enkele basis elementen die hackers al een pak lastiger maken om misbruik te maken van jouw website. Enkele van deze maatregelen zijn :

Wat zijn de meest toegepaste technieken van hackers?

95% van de datalekken gebeuren door menselijke fouten. Dit betekent dat we zelf veel kunnen ondernemen om zelf niet bij deze 95% te behoren.

Wat zijn de meest voorkomende cyber aanvallen?

Om het best gewapend te zijn tegen aanvallen van een hacker, willen we met dit artikel jou een betere inzage geven van de meest voorkomende cyber aanvallen en je zo attenter te maken van deze gevaren.

1. Social Engineering zoals Phishing

Phishing is een begrip dat ondertussen door velen is gekend, maar toch dagelijks vele slachtoffers maakt. Phishing is een methode waarbij de hacker een website (bv een bankapplicatie) namaakt die er net hetzelfde eruit ziet als de echte met als doel jouw inlog gegevens te bekomen.

Eenmaal je jouw inlog gegevens invoert en op enter drukt, worden deze gegevens verstuurd naar de hacker in plaats van de echte organisatie. Op deze manier hebben duizenden mensen reeds een massa geld verloren en staan ze vaak voor een gesloten deur bij de bank om het verloren geld te recuperen.

Een andere vorm van social engineering is het click & bait systeem. Hackers kopen advertentieruimte op platformen met een goede reputatie en plaatsen betrouwbaar uitziende advertenties. Eenmaal iemand op deze advertentie klikt, komen ze op een website terecht die vervolgens malware installeert op de gebruikers computer. Nadien heeft de hacker volledige controle over deze computer met veel ellende als gevolg.

2. DDos aanvallen

Distributed Denial of service heeft vooral als doel om websites offline te halen door de servers te doen crashen. Hackers versturen ontelbare connecties naar één bepaalde server via zombie computers en botnets waardoor deze server crashed.

DDoS aanval

Het is daarom belangrijk om een hosting partij te kiezen die zijn serverpark beschermd tegen deze DDos aanvallen.

3. Code injectie

Code injectie is een algemene term dat gebruikt wordt voor het injecteren van kwaadaardige code in verschillende systemen. Dit kunnen website applicaties zijn, maar tevens ook servers. Wanneer invoergegevens onjuist worden behandeld, wordt het systeem kwetsbaar voor aanvallen met code-injectie.

Het injecteren van code kan door de hacker op verschillende manieren gebeuren :

SQL Injectie

SQL (Structured Query Language) is een querytaal dat wordt gebruikt voor het opvragen of bewaren van data in een relationele database. De meest gebruikte database voor WordPress websites is SQL Server van Microsoft.

Bij een SQL-injectie (SQLi)-aanval probeert een aanvaller de SQL-query die in de webapplicatie wordt gebruikt, te manipuleren en zo rechtstreeks toegang te krijgen tot uw gegevens. Dit gebeurt meestal via een invoerveld op een webformulier, commentaarvelden, of andere manieren die vrij toegankelijk zijn voor gebruikers.

Dergelijke kwaadaardige SQL-statements zullen proberen misbruik te maken van een kwetsbaarheid in de authenticatie- en autorisatieprocedures van de applicatie. Als ze succesvol zijn, zal de SQL-database de commando's uitvoeren die de aanvaller heeft geïnjecteerd.

Afhankelijk van het type SQL-injectie kan het gegevens uit de database lezen, wijzigen, toevoegen of verwijderen. Het is daarom belangrijk dat uw website ook beschermd blijft tegen dergelijke manipulaties.

Cross-Site Scripting (XSS)

Telkens wanneer een applicatie gebruikersinvoer toelaat binnen de uitvoer die webapplicatie genereert, kan een aanvaller kwaadaardige code naar een andere eindgebruiker sturen zonder deze te valideren of te coderen. Cross-Site Scripting (XSS)-aanvallen maken van deze gelegenheid gebruik om kwaadaardige scripts in vertrouwde websites te injecteren.

Bij een Cross-Site Scripting-aanval wordt een tekst met kwaadaardige code (meestal in JavaScript) in een webpagina ingevoegd. Wanneer een nietsvermoedende gebruiker die webpagina bezoekt, wordt de code uitgevoerd.

Er zijn twee soorten XSS-aanvallen: opgeslagen XSS-aanvallen en gereflecteerde XSS-aanvallen. Bij opgeslagen aanvallen wordt het geïnfecteerde script permanent op de server bewaard. En de aanvaller kan het op elk moment terughalen.

Bij gereflecteerde aanvallen worden de scripts door webservers teruggekaatst in de vorm van waarschuwingen of zoekresultaten. Omdat het verzoek er dan authentiek uitziet, verwerkt de website het en wordt geïnfecteerd

4. Kwetsbare WordPress Plugins

Plugins worden beschouwd als de meest kwetsbare onderdelen van een website. Verouderde of onbeveiligde plugins van derden kunnen door aanvallers worden misbruikt om de controle over uw website over te nemen of deze helemaal plat te leggen.

De beste manier om veilig te blijven is om altijd plugins van betrouwbare bronnen te gebruiken en uw plugins altijd up-to-date te houden

5. Brute Force aanvallen

Bij deze hacktechniek proberen de aanvallers meerdere combinaties van het wachtwoord totdat een van de combinaties overeenkomt. Deze methode is eenvoudig uit te voeren, maar vereist enorme rekenkracht om te implementeren.

Hoe langer het wachtwoord, des te moeilijker het is om het te raden met brute kracht. Soms gebruiken aanvallers ook woordenboeken om het proces te versnellen.

hoe veilig is jouw paswoord

6. DNS Spoofing

Door gebruik te maken van DNS spoofing aanvallen kunnen aanvallers slachtoffers dwingen op een valse website terecht te komen. Dit wordt gedaan door de in de DNS-server opgeslagen IP-adressen te wijzigen in een adres dat naar de website van de aanvaller leidt.

Zodra het slachtoffer op de valse website belandt, kan de aanvaller het systeem van het slachtoffer infecteren met malware en andere website hacking technieken gebruiken om verdere schade aan te richten.

7. Cookie diefstal

Hoe onschuldig het ook klinkt, deze aanval kan effectief al uw belangrijke gegevens stelen. Tijdens het surfen slaan websites tonnen cookies op uw computer op. Deze cookies bevatten veel gevoelige informatie, waaronder uw inloggegevens zoals uw wachtwoorden of zelfs uw betalingsgegevens.

Als de aanvallers deze cookies in handen krijgen, kunnen ze al deze informatie stelen of gebruiken om zich online als u voor te doen.

Hoe jezelf en jouw website beschermen tegen een hacker?

Nu we de verschillende manieren kennen waarop hackers jou of jouw website kunnen hacken, begrijp je beter waarom website beveiliging geen overbodige luxe is voor een onderneming.

Hieronder staan een aantal basisstappen om uw gegevens te beschermen tegen een aantal veel voorkomende website hacking technieken:

1. Gebruik waar mogelijk sterke wachtwoorden en 2-factor authenticatie

Niet enkel voor het inloggen op uw website, maar ook voor alle webapplicaties die u dagdagelijks gebruikt is Two-Factor authenticatie een goede stap in beveiliging.

Een populaire 2FA tool is bijvoorbeeld de Google Authenticator app voor Android en voor Apple Smartphones/tablets.

2. Hou de plugins en software bijgewerkt met de nieuwste beveiligings updates

3. Gebruik een Firewall om DDos aanvallen en ongewenste IP adressen te blokkeren

Revisat werkt met Cloudflare voor elke afgeleverde website die alle verkeer naar de website controleert. Cloudflare biedt tal van middelen aan om kwaadaardige bots te blokkeren naar jouw website tot zelfs landen volledig te blokkeren. De installatie van Cloudflare zit vervat in ons aanbod.

4. Hanteren van code sanering

Revisat bouwt websites met zo weinig mogelijk plugins ofwel plugins die uitvoerig zijn getest door onszelf en de design community. We vermijden het gebruik van WordPress thema's of Pagebuilders die een overvloed aan code en java scripts stockeren in de database.

Door aan code sanering te doen, slagen we er ook in om webpagina's te laten laden in minder dan 2 seconden. Meer info over laadsnelheid van webpagina's.

5. Klik niet zomaar op links in ontvangen emails

Zoals eerder gemeld, is social engineering een vorm om mensen te misleiden via email. Je kan eenvoudig controleren of de mail wel degelijk van de juiste oorsprong komt door rechtermuis klik uit te voeren op de link en de informatie weergeven van deze link.

6. Voer regelmatige Security Audits uit

Revisat kan voor u met regelmaat Security audits uitvoeren. We bieden extra advies om jou en jouw medewerkers te beschermen tegen Phishing en hackers.