Zoeken naar artikelen:

Openklappen

Hoe beveilig je een website tegen hackers?

Wij krijgen vaak mensen, met of zonder gehackte site, die ons vragen hoe het nu zit met het beveiligen van je website. Hierbij een korte uitleg over het fenomeen en wat je eraan kunt doen. Er zijn veel verschillende manieren om een website te hacken. De ‘exploit manier‘ is de meest gebruikte. Daarom zullen we die hier even kort en simpel toelichten. Bewust simpel, zodat je zonder ervaring niet makkelijk kunt gaan experimenteren (hacken is tenslotte illegaal). We willen je er vooral bewust van maken hoe makkelijk hacken is en hoe je kunt voorkomen hier slachtoffer van te worden.
 

Stap 1: Zoek een bekende exploit (lek) om mee te hacken

Ga naar http://www.exploit-db.com/ of http://1337day.com/. Bekijk hier (recente) lekken in bekende systemen (zoals WordPress of Drupal). Selecteer een lek met een hoge beveiligingsrisico score.
 

Stap 2: Zoek een kwetsbare site om te hacken

Zoek (in Google of bekijk een paar websites) naar een versie van het Content Management Systeem dat dit lek bevat. Bijvoorbeeld sites gemaakt in WordPress in een versie ouder dan versie 3.5.1.. Of sites met een pluginversie, zoals WooCommerce, van voor versie 2.0.10.. Je kunt vaak in de broncode (rechtermuisknop terwijl je op de website bent) zien welke versies van welke plugins worden gebruikt, waarop je weer kunt zoeken bij exploit-db of 1337day (dus je kunt ook eerst stap 2 doen en daarna stap 1).
 

Stap 3: Pas de exploit toe

Voor recente exploits zul je zelf moeten kunnen hacken. Als het een exploit is van een tijd geleden, dan is er waarschijnlijk een standaard programmaatje beschikbaar op internet dat je kunt gebruiken (bijvoorbeeld via http://www.metasploit.com/ of http://wpscan.org/).
 

Stap 4: Misbruik de website als deze gehacked is

Als het een ernstige exploit is, kan een hacker heel veel doen, zoals bijvoorbeeld:

1. De website verminken;
2. Alle e-mailadressen en wachtwoorden downloaden. Met deze e-mailadressen en wachtwoorden kan hij vervolgens weer proberen in te loggen op allerlei andere systemen (omdat mensen vaak dezelfde wachtwoorden gebruiken). Bijvoorbeeld met gebruiker 3. ‘doktor.bernhard@ziekenhuisx.com’ en wachtwoord ‘julliette123?, zou je eens kunnen proberen in te loggen op de site van betreffend ziekenhuis en  het electronisch patiëntendossier kunnen bekijken;
3.. Een virus plaatsen op de website. Alle bezoekers krijgen dan automatisch een programmaatje geïnstalleerd waarmee hun computers kunnen worden overgenomen;
4. Spam versturen via de website en/of naar de aangesloten leden. Dit is een miljardenbusiness;
5. Een luisterprogramma aanzetten waarmee je bijvoorbeeld alle wachtwoorden en verstuurde e-mails kunt onderscheppen van ingelogde gebruikers (indien wachtwoorden te goed versleuteld zijn in de database);
6. Alle gegevens versleutelen met een wachtwoord en de back-ups weggooien (dan ben je chantabel);
7. Proberen in te breken op de server zelf zodat je ook bij de andere websites kunt komen (ook al zijn die niet lek);
8. Een ‘backdoor‘ plaatsen. Daardoor kan de hacker voortaan altijd jouw systeem in via een eigen achterdeur (zelfs als je in de tussentijd de website hebt gerepareerd of geüpdate).

Een ervaren hacker heeft deze stappen binnen 30 minuten doorlopen.
 

Zeroday exploits: iedereen is vogelvrij

‘Zeroday exploits‘ zijn lekken die niet bij de software leverancier bekend zijn of waarvoor nog geen oplossing voorhanden is, maar die wel bij (een paar) hackers bekend zijn. Deze hackers hebben nu vrij spel omdat alle systemen kwetsbaar zijn en niemand weet dat dit lek er is. Een zeroday exploit in een bekend software systeem kun je op internet verkopen voor vele honderdduizenden dollars. Tegen dit soort exploits kun je je dus heel moeilijk verdedigen. Het virus ‘stuxnet‘, dat succesvol is ingezet om de Iraanse kerncentrales te ontregelen, bevatte bijvoorbeeld iets van  zeven van dit soort exploits.
 

Wat kun je tegen hackers of hacken doen?
Nu we globaal hebben uitgelegd hoe relatief makkelijk het is om te hacken willen we nu vooral de focus leggen op het voorkomen van gehackt te worden.
Hieronder lees je enkele stappen die er voor zorgen dat je website veilig is en minder gevoelig voor hackers.

1. Zorg dat je nooit een website waar zeer kritische informatie op staat, bouwt in een open source CMS (waarvan alle lekken op internet staan). Dit soort systemen zijn echt een doelwit die ook door onervaren hackers gemakkelijk te kraken zijn met standaard beschikbare programma’s. Zelfs door regelmatig te updaten, blijf je nog steeds kwetsbaar voor ‘zeroday exploits‘;
2. Breng zo weinig mogelijk maatwerk aan want bij maatwerk worden automatische updates vaak lastig;
3. Gebruik voor elke website een ander wachtwoord, bijvoorbeeld door gebruik te maken van een wachtwoordprogramma of gebruik een trucje zoals hier beschreven; 
4. Laat de website regelmatig scannen op bekende kwetsbaarheden, bijvoorbeeld via Cyberveiligheid;
5. Zet een SSL certificaat (sleuteltje) aan op alle inlogs van de website, inclusief de achterkant van de website;
6. Kies een webbouwer die verstand heeft van veilige websites bouwen.

Vragen of feedback?

Kijk snel op www.cyberveiligheid.nl voor tips.

Wouter Hoge

Stichting Cyberveiligheid en directeur van Webbouwers.com

Artikel downloaden

Hoe beveilig je een website tegen hackers.pdf
(Hoe beveilig je een website tegen hackers.pdf)

Download artikelen

Alle artikelen, zoals checklists, stappenplannen en visies kunt u gratis laten toezenden. U kunt alle artikelen downloaden. Heeft u vragen, kunt u het reactieformulier gebruiken

Naar download pagina