Gehackte webshop? Voorkomen is beter dan genezen

In het artikel Facebook Advertentie account gehackt stonden veel preventieve veiligheidsmaatregelen. Voor ondernemers met een webshop ga ik in dit artikel dieper in op maatregelen die je kunt nemen om te voorkomen dat jouw webshop wordt gehackt.

Het uitsluiten van een hack is onmogelijk. De mate van veiligheid is altijd een afweging tussen kosten en baten maar als je afhankelijk bent van de webshop voor jouw omzet, adviseer ik je om te investeren in preventieve maatregelen.

Een hacker kunt je vergelijken met een fietsendief. Elk slot is open te breken/slijpen door een goede fietsen dief, de vraag is alleen hoe lang die nodig heeft voor jouw slot. Als je twee verschillende fietssloten hebt die elk 20 seconden kosten terwijl naast de jouwe een fiets op slot staat met slechts een slot die maar 10 seconden kost dan zal de dief jouw fiets laten staan.  Dit geldt ook voor je webshop, als je de basis goed in orde hebt, kun je veel hackers al buiten de deur houden.

Wat wil een hacker bereiken?

Het doel van hackers kan verschillen. Er zijn activistische hackers die bijvoorbeeld een politiek statement willen maken. Na de politieke spanningen tussen Nederland en Turkije waren er bijvoorbeeld veel Turkse hackers actief die Nederlandse websites overnamen om daar een tekst op te plaatsen. Ook zijn er hackers die puur voor financieel gewin een webshop hacken (net zoals in het artikel over de Facebook hack). Zij voegen bijvoorbeeld een betaalmethode toe in het bestelproces van jouw webshop waarbij alle creditcardgegevens van klanten worden gestolen.

Gelukkig zijn er ook goedwillige hackers die uitsluitend aantonen dat iets niet goed in elkaar zit. Mijn advies is om die vooral hartelijk te bedanken en te belonen als ze je benaderen. Ze kunnen je vaak ook verder helpen met het verhelpen van het probleem.

Vier preventieve maatregelen

1. Installeer updates
Voor e-commerce platform zoals Magento 2, WooCommerce of Prestashop komen regelmatig updates uit. Naast nieuwe functionaliteiten bevatten deze ook veiligheidsverbeteringen voor bekende zwakheden.
Nadat bekend is waar een pakket zwakheden heeft, wordt het vaak actief misbruikt. Het is dus belangrijk om updates snel door te voeren. Mocht je zelf onvoldoende kennis hiervoor hebben, zorg dan voor een technisch beheerder. Als je gebruik maakt van een hosted oplossing zoals MijnWebwinkel of CCVshops verzorgen zij de technische veiligheid van jouw webshop.

2. Voorkom een succesvolle bruteforce aanval
Uit eigen ervaring kan ik aangeven dat bruteforce aanvallen op webshops steeds vaker worden uitgevoerd. Een succesvolle bruteforce aanval is simpel te voorkomen.

  • Kies een unieke gebruikersnaam, dus geen admin, Maaike of Jaap maar bijvoorbeeld Maaike-uit-Amsterdam.
  • Kies een sterk wachtwoord, dus geen naamhuisdier123 maar bijv. NaamHuisdier#NaamKinderen!Straatnaam&2128.
    Tip: Gebruik altijd unieke wachtwoorden per platform. Je kunt dit beheersbaar houden met een wachtwoord manager zoals Lastpass.
  • Verander de url van de backend. De standaard loginpagina van Magento is jouwdomein.nl/admin. Als je daar jouwdomein.nl/achtertuin van maakt ben je al een stukje veiliger. In het geval van Magento dient dit op meer plekken te worden gedaan. Een technisch beheerder kan je hierbij helpen.

3. Actief security beleid
Als ondernemer heb je het altijd druk, en als je even tijd hebt dan ontspan je vast liever dan bezig te zijn met de veiligheid van jouw webshop. Mijn advies is om een security beleid op te stellen en alle betrokkenen te betrekken hierbij zodat iedereen het belang van dit beleid inziet. Dit beleid moet ook periodiek worden aangevuld op basis van best practices. Enkele voorbeelden om hierin op te nemen:

  • Geef je iemand tijdelijk toegang tot jouw webshop om bijvoorbeeld te helpen? Maak een agendapunt wanneer je het account weer deactiveert.
  • Geef medewerkers geen volledige rechten maar uitsluitend tot de pagina’s die zij nodig hebben. Als een account dan wordt overgenomen blijft de schade beperkt.
  • Wijzig regelmatig alle wachtwoorden.

Tip: Maak in je agenda afspraken om periodieke taken uit te voeren. Zo vergeet je het niet.

4. Zorg voor goede backups
Een hacker kan al jouw bestanden hebben verwijderd of enkele bestanden hebben gewijzigd. Het kan erg lastig zijn om dit te herstellen. Zorg dat je altijd actuele backups beschikbaar hebt zodat je snel terug kunt naar de situatie van voor de hack.

Je bent gehackt, wat nu?

  • Verwijder geen sporen. Log niet in op de server en webshop backend. Pas vooral geen bestanden aan.
  • Documenteer elke stap die je neemt. Hiermee houdt je het overzicht en dit helpt je later om de oorzaak te vinden.
  • Schakel een expert in.
Berend Lantink on EmailBerend Lantink on FacebookBerend Lantink on LinkedinBerend Lantink on Twitter
Berend Lantink
Mijn naam is Berend Lantink. Ik ben een gecertificeerde Magento specialist en werkzaam voor TIG Amsterdam, een e-commerce ontwikkelaar met opdrachtgevers zoals PostNL, Buckaroo en CoolBlue.
Veel Nederlandse Magento webshops gebruiken onze extensies en daar zijn wij trots op.

Pin It on Pinterest

Share This