De meest voorkomende manieren waarop websites worden gehackt door spammers

Begrijpen hoe uw site is gehackt is een belangrijke stap in het beschermen van uw site tegen aanvallen. In dit artikel worden enkele beveiligingsproblemen uiteengezet die ertoe kunnen leiden dat uw site wordt gehackt.

Gehackte wachtwoorden

Aanvallers kunnen gebruikmaken van technieken om wachtwoorden te raden door verschillende wachtwoorden te proberen totdat ze het juiste wachtwoord hebben geraden. Aanvallen waarbij wachtwoorden worden geraden, kunnen via verschillende methoden worden uitgevoerd, zoals het uitproberen van veelgebruikte wachtwoorden of het scannen door willekeurige combinaties van letters en cijfers totdat het wachtwoord wordt achterhaald. Als u dit wilt voorkomen, moet u een wachtwoord maken dat moeilijk te raden is. Ga naar het Helpcentrum van Google voor tips voor het maken van een sterk wachtwoord.

Er zijn twee belangrijke punten om te onthouden. Ten eerste is het belangrijk om te voorkomen dat u dezelfde wachtwoorden voor verschillende services gebruikt. Zodra aanvallers een werkende combinatie van gebruikersnaam en wachtwoord kunnen identificeren, proberen ze die combinatie in zo veel mogelijk services. Gebruik daarom verschillende wachtwoorden voor verschillende services om te voorkomen dat andere accounts worden gehackt.

Gebruik ten tweede authenticatie in twee stappen (2FA) zoals Authenticatie in twee stappen van Google als deze optie beschikbaar is. Via 2FA wordt er een tweede laag inloggegevens ingeschakeld, doorgaans via een sms-code of andere dynamisch gegenereerde pincode, waarmee de kans wordt verkleind dat een hacker toegang krijgt tot uw account met alleen een gestolen wachtwoord. Sommige CMS-providers bieden hulp bij de configuratie van 2FA. Raadpleeg de documentatie voor Joomla! , WordPress of Drupal.

Ontbrekende beveiligingsupdates

Oudere versies van software kunnen worden beïnvloed door beveiligingsproblemen die een hoog risico met zich meedragen. Hierdoor kunnen aanvallers een volledige site hacken. Aanvallers zijn actief op zoek naar oude software met beveiligingsproblemen. Als u een beveiligingsprobleem op uw site negeert, is de kans groter dat uw site wordt aangevallen.

Opmerking: Het is van essentieel belang dat u regelmatig controleert op software-updates voor uw site om zo beveiligingsproblemen te patchen. Het is verstandig automatische updates in te stellen voor uw software en u aan te melden voor beveiligingsaankondigingen voor uw actief gebruikte software.

Dit zijn enkele voorbeelden van software die u up-to-date moet houden:

  • Webserversoftware, als u uw eigen servers uitvoert.
  • Contentmanagementsysteem. Voorbeeld: beveiligingsreleases van Wordpress, Drupal en Joomla!.
  • Alle plug-ins en add-ons die u op uw site gebruikt.

Onveilige thema's en plug-ins

Plug-ins en thema's op een CMS voegen waardevolle, verbeterde functionaliteit toe. Verouderde of niet-gepatchte thema's en plug-ins vormen echter een grote bron van beveiligingsproblemen op websites. Als u thema's of plug-ins op uw site gebruikt, moet u ervoor zorgen dat u deze up-to-date houdt. Verwijder thema's of plug-ins die niet meer worden onderhouden door de ontwikkelaars.

Wees uiterst voorzichtig met gratis plug-ins of thema's van onbetrouwbare sites. Het is een gebruikelijke tactiek voor aanvallers om schadelijke code toe te voegen aan gratis versies van betaalde plug-ins of thema's. Als u een plug-in verwijdert, moet u ervoor zorgen dat alle bijbehorende bestanden van uw server zijn verwijderd, in plaats van dat u de plug-in alleen maar uitschakelt.

Social engineering

Social engineering draait om het uitbuiten van de menselijke neiging om geavanceerde beveiligingsinfrastructuren te omzeilen. Bij dit soort aanvallen worden gebruikers in de val gelokt om vertrouwelijke gegevens zoals wachtwoorden te verstrekken. Een veelvoorkomende vorm van social engineering is phishing. Bij een poging tot phishing stuurt een aanvaller een e-mail waarin deze zich voordoet als een echte organisatie en vraagt om vertrouwelijke gegevens.

Opmerking: Uit een onderzoek van Google over social engineering is gebleken dat een aantal van de effectiefste phishingcampagnes een slagingspercentage van 45% heeft.

Verstrek nooit gevoelige informatie (zoals wachtwoorden, creditcardnummers, bankgegevens of zelfs uw geboortedatum), tenzij u zeker bent van de identiteit van de aanvrager. Als uw site door meerdere mensen wordt beheerd, kunt u overwegen training te bieden om te zorgen dat deze mensen zich meer bewust zijn van social-engineeringaanvallen. U kunt in dat geval verwijzen naar het Helpcentrum van Gmail voor basistips voor het vermijden van phishing.

Gaten in het beveiligingsbeleid

Als u systeembeheerder bent of uw eigen site uitvoert, moet u er rekening mee houden dat aanvallers uw site kunnen hacken als u er een slecht beveiligingsbeleid op na houdt. Enkele voorbeelden zijn:

  • Gebruikers toestaan zwakke wachtwoorden te maken
  • Beheerderstoegang verlenen aan gebruikers die deze toegang niet nodig hebben
  • HTTPS niet inschakelen op uw site en gebruikers toestaan zich aan te melden via HTTP
  • Bestandsuploads van niet-geverifieerde gebruikers toestaan of deze toestaan zonder controle van bestandstype

Een aantal basistips om uw site te beschermen:

  • Zorg ervoor dat uw website is geconfigureerd met krachtige beveiligingscontroles door onnodige services uit te schakelen
  • Test toegangs- en gebruikersrechten
  • Gebruik versleuteling voor pagina's die gevoelige informatie verwerken, zoals inlogpagina's
  • Controleer uw logbestanden regelmatig op verdachte activiteiten

Gegevenslekken

Gegevenslekken kunnen zich voordoen wanneer vertrouwelijke gegevens worden geüpload en die gegevens door een verkeerde configuratie openbaar toegankelijk zijn. Zo kan er mogelijk configuratie-informatie worden gelekt in een niet-verwerkte foutmelding via de foutverwerking en berichtgeving van een web-app. Door een methode in te zetten die 'dorking' wordt genoemd, kunnen kwaadwillende gebruikers de functionaliteit van een zoekmachine gebruiken om deze gegevens te vinden.

Zorg ervoor dat uw site geen gevoelige informatie aan onbevoegde gebruikers onthult door regelmatig controles uit te voeren en vertrouwelijke gegevens te beperken tot vertrouwde entiteiten via het beveiligingsbeleid. Als u ontdekt dat er gevoelige informatie op uw site wordt weergegeven die zo snel mogelijk moet worden verwijderd uit de resultaten van Google Zoeken, kunt u de tool voor het verwijderen van URL's gebruiken om afzonderlijke URL's uit Google Zoeken te verwijderen.