Cyber-criminelen weten als geen ander dat websites van KMO’s vaak kwetsbaar zijn. Ze gebruiken allerlei tactieken om kwaadaardige codes in de database te injecteren via bijvoorbeeld SQL-injectie aanvallen. Op deze manier krijgen ze toegang tot gevoelige informatie uit de database. Daarnaast zijn er ook cyber-criminelen die websites of Internet-diensten platleggen door de server te overbelasten met DDoS-aanvallen. Ten grondslag liggen vaak activistische doelen omdat de ondernemer bijvoorbeeld tassen van krokodillenleer verkoopt, ontevreden klanten heeft of als een lastige concurrent wordt gezien. Met name voor web-winkels kan een DDoS-aanval fataal zijn, gezien zij een heleboel omzet mislopen als de webshop een paar uur platligt.

Cyber-criminelen misbruiken bovendien vaak formulieren en reactiegedeeltes op de website om kwaadaardige links te verspreiden via zogenaamde spambots. Met een spambot kunnen cyber-criminelen ongewenste berichten, oftewel “spam”, naar zo veel mogelijk mensen versturen. Als bezoekers op deze links klikken, komen ze bijvoorbeeld op websites met malware terecht, waardoor ze wachtwoorden kunnen stelen. Ondernemers verspreiden zo onbedoeld schadelijke software en de kans is groot dat bezoekers van hun website slachtoffer worden.

Simpele regels

Om dergelijke aanvallen te voorkomen is het belangrijk dat ondernemers zich houden aan een aantal simpele regels. Ten eerste is het belangrijk dat het apparaat waarop het CMS-platform draait, goed beveiligd is en dat niet iedereen toegang tot het apparaat heeft. Daarnaast moeten zowel het CMS als alle plug-ins en modules altijd up-to-date zijn. Als ondernemers dit niet doen kunnen cyber-criminelen erg gemakkelijk een succesvolle aanval uitvoeren. Met name bij open source-platformen, zoals WordPress of Drupal, is dit belangrijk.

Open source biedt ontzettend veel voordelen, alleen is de kans groter dat de software verouderd is en beveiligingslekken bevat waar cyber-criminelen misbruik van kunnen maken. Bovendien kan het zijn dat er na aanpassingen bepaalde modules of plug-ins niet meer gebruikt worden. Controleer daarom regelmatig alle plug-ins en modules van de website. Er zijn hiervoor verschillende tools beschikbaar, zo heeft Wordpress de plugin “Activation Status” en Drupal de tool “Unused Modules”.

SSL-certificaat

Indien ondernemers een nieuwe website bouwen, is het belangrijk dat de website over een SSL-certificaat beschikt. SSL kan vertrouwelijke informatie versleuteld verzenden, waardoor gegevens niet onderschept worden. Een SSL-certificaat is verplicht voor webshops en websites die gebruikersgegevens verwerken. Bezoekers kunnen het SSL-certificaat herkennen doordat het HTTPS-protocol in de adresbalk te zien is.

Daarnaast is het belangrijk dat er altijd sterke wachtwoorden worden gebruikt. Bij de meeste CMS-platformen is het gebruik van minimaal 8 tekens en een combinatie van cijfers en letters verplicht. Dit zijn eigenlijk veel te weinig tekens voor een veilig wachtwoord. Om zeker te zijn van een goed wachtwoord, dat sterk én uniek is, kan bijvoorbeeld een password manager worden gebruikt. Bovendien is een password manager ook een ideaal alternatief om wachtwoorden te onthouden en te beheren.

Om diefstal van wachtwoorden te voorkomen via een malware-aanval, doen ondernemers er verstandig aan om hun CMS te beveiligen met two-factor authenticatie. Gebruikers moeten dan een extra code invoeren die ontvangen wordt via SMS of een authenticator-app. Gezien sommige cyber-criminelen een fake account proberen aan te maken, is het verstandig om ook de login-URL van het platform aan te passen. Met name bekende platformen, zoals Drupal, Joomla en Wordpress, hebben URL’s om in te loggen die algemeen bekend zijn. Zij hebben dan ook speciale plug-ins beschikbaar waarmee de URL gemakkelijk is aan te passen.

Door bovenstaande tips te gebruiken in combinatie met web design en goede functionaliteit kunnen cyber-risico’s worden voorkomen. Vergeet daarbij niet om de website regelmatig te controleren op mogelijke updates die niet automatisch uitgevoerd worden. Echter is het beveiligen van een website slechts één beveiligingsmaatregel. Het is daarom belangrijk dat ondernemers andere beveiligingsmaatregelen niet vergeten en goede voorbereidingen treffen. Op deze manier wordt de kans op een eventuele aanval kleiner en kunnen ook kleine ondernemers online succesvol zijn.(E.W.)

(Bovenstaande bijdrage kwam tot stand in samenwerking met G DATA Software Belgium B.V.B.A. (Groot-Bijgaarden)).

Meer info: 070/350.129 of www.gdata.be.