Website beveiliging

Natuurlijk wilt u niet dat uw website of emailaccount wordt gehacked. Het oplossen daarvan kost soms erg veel tijd en dus geld. Bovendien geeft Google goed beveiligde websites een hogere ranking. Zorg er dus voor dat u het onderstaande eventueel samen met mij op orde krijgt.

beveiliging accounts

Het volgende geldt voor uw website, maar ook voor alle andere accounts, zoals uw hostingprovider, domainregister, Microsoft of Google account, CDN, etc.:

  • Stuur mij nooit de logingegevens van uw account met alle eigenaars beheerrechten. In plaats daarvan, voegt u mij toe als developer / technical contact / manager / collaborator. Zo krijg ik alleen de beperkte rechten die ik nodig heb en kan ik bijvoorbeeld niet bij uw e-mailbox, facturen, domeinnamen, etc. Het voordeel is ook dat ik dan met mijn eigen logingegevens kan inloggen met two-factor-authentication (=dubbele verificatie met smartphone).
  • Ik bewaar uw wachtwoorden van uw accounts nooit. Ook niet als u ze toch aan mij stuurt. Zorgt u er dus zelf voor dat u de wachtwoorden veilig opslaat. Zorg er ook voor dat u het wachtwoord zelf kunt resetten, in het geval u het kwijtraakt, met uw eigen account recovery emailadres en mobiele telefoonnummer.
  • Mocht het toch een keer noodzakelijk zijn voor mij als developer, om met de logingegeven van de eigenaar (met alle beheerrechten) in te loggen, geef mij dan telefonisch het wachtwoord door en wijzig het z.s.m. als het klusje gedaan is.
  • Zorg voor sterke passwords die niet te raden zijn. Lange wachtwoorden dus, minimaal 10 tekens, bestaande uit hoofdletters, kleine letters, cijfers en vreemde tekens, zonder woorden of data erin.
  • Activeer 2-Step Verification.
  • Stuur nooit logingegevens per email, maar telefonisch of via een aparte versleutelde service en verwijder de berichtjes z.s.m. definitief.
  • Wijzig / reset alle wachtwoorden regelmatig.
  • Sla wachtwoorden nooit op in uw browser, maar in een versleutelde, goed beveiligde Password manager.
  • Activeer account login notifications, zodat u een email krijgt als iemand inlogt. Waarschuw de beheerder als u een loginpoging niet herkent of verdacht vindt en wijzig direct uw wachtwoorden.

beveiliging Website

  • Verstop de URL van de backend van de website.
  • Kies een beheerders loginnaam die hackers niet kunnen raden. (dus niet uw naam of emailadres.)
  • Is Joomla of Wordpress Auto-update actief, zodat veiligheidslekken automatisch gedicht worden, zodra er een security patch beschikbaar komt?
  • Heeft de server de laatste PHP versie en wordt deze automatisch geüpdatet naar een veilige versie?
  • Is uw SSL certificaat actief, zodat gegevens via uw website op een veilige manier verstuurd worden?
  • Is er een plugin geactiveerd, die voorkomt dat spambots e-mailadressen die op uw website staan op mailinglijsten zetten?
  • Is Google Recapcha geactiveerd om te voorkomen dat spammers uw contactformulier misbruiken?
  • Is een Uptime Monitor plugin of applicatie geactiveerd, zodat u een waarschuwingsemail ontvangt als uw website down gaat?
  • Naast Google Search Central raad ik aan om uw website te controleren met: Google Safebrowsing.

Firewall voor Wordpress

U kunt bijvoorbeeld Cloudflare Pro aanschaffen. Daarmee heeft u tegelijkertijd een CDN (content delivery network) zodat uw site sneller wordt en een WAF (Firewall) zodat uw website extra beveiligd is. Ook heeft Siteground een extra tool die ik iedereen aan kan bevelen: Hackalert. Dit is een soort virusscanner die uw bestanden en database scant op hackerscode. Als u een Wordpress website heeft raad ik aan om een van de volgende plugins te (laten) installeren: sucuri.net of wordfence.com. Deze laatste is meer betaalbaar en heeft ook een gratis versie.

IP beveiliging bij Siteground

Uit veiligheidsoverwegingen kunt u ook instellen dat alleen u toegang krijgt tot de backend als uw IP adres op de whitelist staat in Siteground account. Andere IP adressen worden geblokkeerd.

  1. Ga naar www.whatismyip.com en kopieer uw IP- adres.
  2. Log in op Siteground en klik op het tabblad My Accounts
  3. Klik op het icon Joomla toolkit en klik op Manage
  4. Klik op Secure Admin en voer uw IP-adres in en klik op continue.

Admintools Pro In Joomla!

Op verzoek installeer ik in Joomla! websites de extensie Admin Tools Pro voor extra beveiliging tegen hackers. Soms is het aardig irritant als u zelf als beheerder geblokkeerd wordt. Mocht dat gebeuren dan mag u mij bellen voor hulp. Als het te vaak gebeurt dan kunt u mij ook vragen om Admintools anders in te stellen of te verwijderen, ook al kan ik natuurlijk niet aanbevelen om het beveiligingsniveau te verlagen.

U kunt ook zelf de blokkade opheffen.

  1. Login bij uw hosting provider.
  2. Ga naar cPanel – icon File manager.
  3. Het bestandje dat u moet hernoemen is: public_html/plugins/system/admintools/admintools/main.php.
  4. Hernoem dit in bijvoorbeeld blablabla-main.php. Hiermee schakelt u Admintools volledig uit.
  5. Nu kunt u weer inloggen in de achterkant van uw Joomla website.
  6. Klik op – components – Admintools
  7. Klik op Web Application Firewall en dan op “Unblock an IP”.
  8. Wijzig de naam van het bestand weer terug in wat het was: public_html/plugins/system/admintools/admintools/main.php