De media staan er vol mee de laatste weken: criminele cyberactiviteiten zijn blijkbaar nogal lucratief, want er gebeurt steeds meer ellende m.b.t. spoofing, phishing en ransomware. Reden voor Studio 010 om de zaken nog eens goed tegen het licht te houden want voorkomen is in dit geval veeeeeel beter dan genezen! In dit artikel beschrijven we enkele van de maatregelen die genomen zijn om jouw webhosting veilig te stellen mocht er zich onverhoopt in de toekomst een cyber-ramp voordoen die onze infrastructuur raakt.
Offsite-backups
Alle configuratie en data van de webhosting bij Studio 010 wordt dagelijks gebackupt. Deze backups blijven lokaal opgeslagen op de server om snel te kunnen handelen wanneer dat nodig is (bijvoorbeeld als je per ongeluk zelf data verwijdert die je toch nog nodig hebt). Maar al deze backups worden ook “off-site” opgeslagen voor het geval er echte calamiteiten met de server optreden. Wanneer de server bij wijze van spreken tot op de grond zou afbranden, dan nog zijn jouw hosting-instellingen, bestanden en emails opgeslagen. Je zou in dat geval dus niet meer dan 24 uur data kwijtraken. Mocht er zich een calamiteit voordoen dan is het van groot belang dat je ons dat zo spoedig mogelijk meldt.
SSL en TLS
Alle websites bij Studio 010 worden uitgerust met een SSL certificaat en wanneer nodig worden deze certificaten voor je vernieuwd zodat de verbinding met jouw website altijd via een versleutelde verbinding loopt. Waar mogelijk dwingen we dit zelfs af, om te voorkomen dat er per ongeluk verkeer via een onbeveiligde verbinding zou lopen. Denk hierbij bijvoorbeeld aan het standaard adres van je website: deze zou altijd met https:// moeten beginnen en niet met http:// aangezien verkeer via dit laatste protocol eenvoudig te onderscheppen is.
Per juli 2021 ondersteunen onze servers geen TLS 1.0 of TLS 1.1 meer. Deze protocollen zijn bestempeld als onveilig en daarom zijn deze preventief uitgeschakeld. Alle TLS-verbindingen kunnen nu alleen nog via versie 1.2 of 1.3 verlopen.
HSTS
Om ECHT alleen nog maar veilig verkeer naar je website toe te staan kan je overwegen om HSTS te activeren. Dit kan per website apart ingesteld worden en zorgt voor een enorme veiligheidsboost volgens de experts. HTTP Strict Transport Security zorgt ervoor dat je bezoeker alleen nog via https naar je domein kunnen surfen. Het gebruik van http wordt volledig afgesloten. Dit HSTS protocol is afhankelijk van zowel server (waar jouw domein op gehost wordt) als client (de browser van je bezoeker bijvoorbeeld).
Nadeel hiervan is: mocht men met een verouderde browser werken dan wordt HSTS niet ondersteunt en dan wordt de verbinding niet toegestaan en kan de bezoeker jouw domein dus niet benaderen. Je moet daarom zelf altijd zorgdragen voor redirects van http naar https waar dat mogelijk is (bijvoorbeeld WordPress en Plesk). Ook worden automatisch alle subdomeinen hiermee afgedwongen om alleen nog https te ondersteunen. Wees dus voorzichtig als je dit inschakelt: je kan onbedoeld je subdomeinen onbereikbaar maken als je certificaat daar niet op orde is.
WordPress
Een van de grootste uitdagingen bij het hosten van de websites van onze klanten is het up-to-date houden van WordPress installaties. Het bijwerken van software op de server (denk aan de Linux componenten zoals Postfix, Webmail, MySQL, Apache, etc) wordt actief door Studio 010 uitgevoerd, maar de plugins, thema’s en WordPress updates van je website, daar ben je als site-eigenaar zelf verantwoordelijk voor. En daar gaat het vaak mis! Als websites niet bepaald je passie zijn, maar eerder een noodzakelijk kwaad, dan kan je er misschien als een berg tegenop zien om deze updates regelmatig uit te voeren. Maar het is onwijs belangrijk om in te zien hoe belangrijk dit is.
Er zijn ongelofelijk veel zaken gerelateerd aan je WordPress installatie die in direct verband staan met de veiligheid van je website en je gegevens. Je kan er boeken vol over schrijven, maar de belangrijkste zaken sommen we hieronder voor het gemak nog even op.
Redirect naar https
Het is in de voorgaande paragrafen al breed uitgemeten: verkeer zou niet meer via http moeten lopen maar altijd via https. Dit is een instelling in WordPress die je maar eenmalig hoeft te controleren: staat dat eenmaal goed, dan is dat varkentje meteen gewassen! Ga naar Instellingen > Algemeen en stel 2 x een https-adres in. Zie afbeelding:
Behalve dat jouw website naar https moet luisteren kan je ook nog in het Plesk webhosting paneel inloggen om een redirect in te stellen van http naar https. Dit doe je eenvoudig met de WordPress Toolkit.
Automatisch bijwerken van updates, thema’s en plugins
Het grootste gevaar voor jou als WordPress website-eigenaar is dat kwaadwillenden toegang tot je website weten te krijgen. De kracht van WordPress zit hem in de uitbreidbaarheid met thema’s en plugins, maar daarin schuilt ook direct het gevaar: iedereen kan een plugin of thema schrijven en publiceren, maar daarmee haal je potentieel misschien wel een groot beveiligingslek naar je website toe, want wie weet of de auteur er een potje van gemaakt heeft of juist “security-first” zijn software heeft ontwikkeld? Continu worden er lekken gevonden die een hacker toegang kunnen geven tot jouw WordPress installatie. Het is daarom ongelofelijk belangrijk om altijd up-to-date te blijven: zodra iemand een lek ontdekt, dan wordt daar doorgaans direct een update voor uitgebracht in de vorm van een nieuwe versie. Het is dan dus de vraag wie er eerder is: jij met het updaten van je site, of de hacker met het misbruiken van het lek? De WordPress Toolkit, geinstalleerd als onderdeel van Plesk, helpt je hierbij. Je kan deze updates zelfs volledig automatisch laten uitvoeren! Zorg wel dat je op de hoogte bent van wat er bijgewerkt wordt, want het kan theoretisch gebeuren dat een update iets aan je website stuk maakt: je zal dan moeten kijken welke mogelijkheden er zijn om dat te herstellen. Uiteindelijk weegt dat niet op tegen een hacker op je website!
Two factor authentication
Two factor authentication (2FA) is een beveiligingsmethode die ervoor zorgt dat alleen jij kan inloggen met je gebruikersnaam en wachtwoord, omdat je naast die gegevens ook een code op je telefoon ontvangt om aan je login toe te voegen. Deze “tweede factor” voorkomt dus dat iemand die jouw username en password weet te onderscheppen of raden op je website of webhosting kan inloggen. De Plesk installaties van Studio 010 zijn allemaal uitgerust met de Google Authenticator: een handige app die continu nieuwe codes genereert. Alleen met toegang tot die app op JOUW telefoon kan je dus inloggen. Om dit ook toe te passen bij het inloggen op je WordPress website raden we een plugin aan zoals deze Google Authenticator plugin.
DNS records DMARC, DKIM en SPF
Het vorige artikel dat we publiceerden ging voornamelijk over deze speciale DNS-records die alledrie bedoeld zijn om spam en mail-misbruik tegen te gaan. Elk type record heeft zo zijn eigen toepassing, maar het is vooral de combinatie van deze drie die ervoor zorgt dat jouw emails snel, veilig en juist bij de ontvanger terecht komen. Met de juiste instellingen voorkom je dat je mail bij een ontvanger in zijn spam-folder terecht komt, of zelf helemaal niet wordt afgeleverd. Met DMARC is het ook mogelijk om zogenaamde forensische rapportages te ontvangen. Mocht de aflevering van een email problemen geven dan kan die rapportage je inzicht geven wat er mis is en daarmee kan je net zolang tweaken tot alles veilig en naar behoren werkt.
Backup MX Server
Per juli 2021 wordt alle email automatisch opgevangen door een backup mailserver wanneer jouw webserver onverhoopt down zou gaan. Zodoende wordt mail ALTIJD afgeleverd, ook als je server down is! Zolang de mailserver (Postfix) onbereikbaar is zal de backup server alle mail in een zogenaamde queue bewaren, tot het moment dat de mailserver weer online is. Dit wordt binnen enkele minuten door de backup gedetecteerd die de wachtrij met emails dan alsnog zal afleveren in jouw mailbox(en). Hiermee wordt dus voorkomen dat bij een tijdelijk probleem (een server herstart kan heel af en toe wel eens voorkomen bijvoorbeeld) dat mail die op exact dat moment verstuurd wordt niet kan worden afgeleverd. Je zal dus nooit meer een bericht missen!
Online tools voor security checks
Naar aanleiding van bovenstaande zijn vast je handen gaan jeuken om te controleren waar jij zelf nog kan verbeteren qua beveiliging? 🙂 Als je hier eenmaal induikt dan ligt het gevaar op de loer dat je je er in vast bijt en niet kan stoppen met verbeteren. Zeker als je online een scan laat uitvoeren die je een “rating” geeft op jouw domeinnaam zoals hieronder.
Website | Omschrijving |
HSTS Preload | Als je eenmaal je SSL instellingen op orde hebt gemaakt dan kan je voor een nog snellere en veiligere optie kiezen om je domeinnaam toe te voegen aan de lijst met preload URLs die door de belangrijkste browsers wordt ingeladen. Je voorkomt daarmee een zogenaamde “Man in the middle attack”. Voordat je daarvoor in aanmerking komt kan je op deze site eerst controleren of al je instellingen in orde zijn. |
SSL Labs | Bij SSL Labs wordt jouw domein gecontroleerd op allerhande security instellingen. Werkelijk alles wordt gecontroleerd en na de scan worden voor zowel het IPv4 als het IPv6 doel apart van elkaar een rating getoond zoals ook hierboven een voorbeeld staat. Een A+ is in dit geval de allerbeste score die je kan wensen. Met de uitleg op deze site moet je een heel eind kunnen komen. |
MX Toolbox | MX Toolbox is een website waar je voor diverse DNS-gerelateerde scans terecht kan. Zo worden je MX-records gecontroleerd, maar ook instellingen als SPF, DKIM en DMARC worden aan de tand gevoeld. Met de rapportage die daaruit voortkomt kan je stap voor stap verbeteringen doorvoeren om ook hier een 100% groene score te behalen. |
DMarcian Record Checker | Deze site scant specifiek je DMARC records om te zien hoe je scoort m.b.t. email beveiliging en vooral hoe gevoelig de door jouw verzonden emails zijn om aangemerkt te worden als spam bij de ontvangende partij. Let wel op dat een DMARC record alleen niet voldoende is: dit werkt alleen als ook je DKIM en SPF records in orde zijn. |
Comments