Een veilige website zonder omkijken

Waarom Managed WordPress Hosting een uitkomst biedt

Er ligt veel op het bordje van een webdesigner als het om veiligheid gaat. Precies om die reden ben ik in 2017 gestart met het aanbieden van Managed WordPress hosting. Dit is een ‘White-label product’ van WP-Provider, een gespecialiseerde WordPress hostingbedrijf dat exclusief via webdesigners deze hostingvorm aanbiedt. WP-Provider laat het eerste klantencontact over aan de webdesigner zodat zij zichzelf 100% kunnen focussen op de ultieme hosting service.

Hackers

MKB-bedrijven zijn steeds vaker het doelwit van cybercriminelen.

De laatste twee jaar verschenen er nogal wat berichten over bedrijven waarvan de website ‘plat’ werd gelegd door cybercriminelen. Pas na het betalen van stevige bedragen was de betreffende onderneming weer bereikbaar voor zijn klanten. Recent nog een keten van tandartspraktijken en in het voorjaar Artis in Amsterdam. In beide gevallen was de impact enorm. Het ondernemen is op zo’n moment compleet ontregeld.

“Mijn bedrijf is te klein om iets te halen”

Dit zullen veel ondernemers denken en daardoor kan het juist mis gaan. De cybercriminelen zoeken namelijk de weg van de minste weerstand en kijken pas dan wat er eventueel te halen valt. Zelfs als het losgeld bij ransomeware meevalt en je weer snel in de lucht bent dan moet je nog maar afvragen wat er gedaan wordt met de klantinformatie die is opgeslagen in de database van de website.

Veiligheid is belangrijker dan een laag maandbedrag voor hosting

Door MKB-ondernemers wordt er vaak redelijk geïnvesteerd in de ontwikkeling van een goede website. Alleen te vaak wordt er daarbij gekozen voor goedkope hosting om de terugkerende maandelijkse kosten laag te houden. Een mooi voorbeeld hoe goedkoop uiteindelijk duurkoop blijkt te zijn.

Wat zijn de belangrijkste veiligheidsaspecten bij hosting?

Voor wat betreft de veiligheid van (WordPress) website zijn er diverse zaken die goed geregeld moeten zijn:

  • Veilig doorvoeren van updates van templates, plug-ins en WordPress core zelf;
  • Regelmatige malware-scans op serverniveau;
  • Een software- en hardware matige firewall;
  • Extra DDoS protectie;
  • Gebruik van de laatste PHP versie (HardenedPHP);
  • Regelmatige externe backups.

Onderaan deze blog kun je in detail lezen wat dit punt voor punt inhoudt

Maar dit biedt toch iedere hostingaanbieder?

Was dat maar waar. Je zou denken dat het vanzelfsprekend is dat alle hosting bedrijven dit standaard aanbieden. Dit is helaas niet zo! De reden waarom hostingbedrijven deze acties niet ondernemen is:

  1. Het meer resources (en dus geld) kost om malware scans, backup-servers en routines in te richten en te onderhouden;
  2. Er voor extra backups ook extra serverruimte nodig is die ze liever aan hostingklanten verkopen.
  3. Het afstemmen van de firewall/modsecurity specifiek op individuele websites meer tijd in beslag neemt;
  4. Niet elke hostingpartij gespecialiseerd is in WordPress.

Daarnaast wordt een deel van de werkzaamheden als optie aangeboden of uit het abonnement gelaten zodat de hosting goedkoop kan worden aangeboden.

Altijd persoonlijk contact!

Toen ik in 2015 begon met het ontwerpen van websites, bleef de hosting meestal bij de partij waar de domeinnaam al door de klant was geregistreerd. Omdat paginalaadsnelheid een belangrijke rol speelt bij de ranking van een website kreeg ik echter steeds meer behoefte aan extra technische support en betere hostingserver-instellingen. Bij de reguliere hostingpartijen is dit een moeizaam, zo niet onmogelijk, proces.

Door en voor WordPress liefhebbers

De samenwerking met WP-Provider komt voort uit mijn behoefte aan ultieme hosting en ook persoonlijk contact als het erop aankomt. ‘Door en voor WordPress liefhebbers’ zo zou je deze hostingvorm kunnen noemen. En dit laatste blijft beheersbaar doordat deze service alleen via webdesigners wordt aangeboden. WP-Provider focust zich 100% op de hosting en ik op de website met als uitkomst: een veilige website voor de klant met een geweldige performance.

Heb je hier vragen over. Bel dan gerust een keer om de mogelijkheden te bespreken.

drs. ing. Eric Cornelissen

drs. ing. Eric Cornelissen

Merkstrateeg | Webdesigner | Online marketeer

Sinds 1988 houd ik mij bezig met marketing en communicatie. Daarbij heb ik veel ervaring opgedaan in verschillende functies en in verschillende branches. Als laatbloeier studeerde ik van 2004 tot 2007 technische bedrijfskunde aan de Hogeschool van Amsterdam en van 2011 tot 2013 marketing aan de Vrije Universiteit. Na het voltooien van deze laatste studie ben ik gestart met Cornelissen.Marketing. Onder deze vlag biedt ik niet alleen mijn ervaring en competenties aan maar ook die van professionals waarmee ik samenwerk. Op die manier beschikt een opdrachtgever voor ieder project dat ik oppak over een team van professionals en heeft daarbij maar één aanspreekpunt.

PS. Voor de fijnproevers…

Zoals beloofd hieronder nog een uitleg van de zes belangrijkste punten voor een veilige website:

Malware-scans

Malware staat voor “malicious software” Het is een uitgebreide term voor schadelijke code die hackers gebruiken om onbevoegde toegang te krijgen or schade aan te doen aan je WordPress website. In de meeste gevallen zal een bot of hacker gebruik maken van een beveiligingslek. Indien een plugin niet meer wordt ondersteund door de ontwikkelaars en er dus geen updates meer voor worden uitgebracht is het van belang dat hier actief actie op ondernomen wordt.

Je wilt absoluut voorkomen dat jouw website een SEO penalty krijgt door Google, daarom voeren wij diverse scans uit op serverniveau waaronder onze WP eXploit scanner tool dat bestanden actief scant wanneer ze naar de server worden geupload door middel van bijvoorbeeld FTP of via WordPress direct. Het kan verdachte bestanden op de server detecteren en voorkomen dat de meeste (met uitzondering van zero-days (de niet bekende exploits) worden geüpload of uitgevoerd op de server.

Software & hardware matige firewall

Door onze firewall oplossing worden niet gebruikte poorten afgesloten, toegang tot bepaalde services afgeschermd en logs continu gescand op verdachte activiteit zoals een verdacht aantal loginpogingen tot WordPress of de e-mailboxen. IP-adressen en ranges worden geblacklisted zodat de aanval wordt gestopt. Het herkent veel verschillende aanvallen zoals poort-scans, SYN-floods en brute-force aanvallen.

DDoS protectie

Indien het om een Ddos aanval gaat is dit soms niet voldoende en wordt het Ddos protectie-shield ingeschakeld. Onze proactieve, realtime monitoringmogelijkheden detecteren en elimineren aanvallen met een hoog volume effectief. Wanneer wij te maken krijgen met een DDoS-aanval, scheidt het DDoS Shield schoon verkeer terwijl de aanval wordt omgeleid naar ons DDoS-scrubcentrum. Ook hebben wij Modsecurity standaard actief voor jouw account wat ervoor zorgt dat verdachte verzoeken direct uitgefilterd worden.

Security-headers

HTTP security headers zijn naar mijn mening een fundamenteel onderdeel van website beveiliging. Door geschikte headers op server of applicatie-niveau (WordPress) in te schakelen, kun je de weerbaarheid van het CMS tegen veel voorkomende aanvallen, waaronder cross-site scripting (XSS) en clickjacking, verbeteren.

Wanneer een gebruiker een site bezoekt via zijn browser, antwoordt de server met HTTP Response Headers. Deze headers vertellen de browser hoe hij zich moet gedragen tijdens de communicatie met de site. Door de juiste security-headers toe te passen zet je een goede stap richting een veiligere website.

Hardened PHP

WordPress beveelt aan dat altijd de laatste PHP-versie gebruikt wordt (en wij ook). Natuurlijk is dit in de praktijk niet mogelijk omdat er bijvoorbeeld custom plug-ins geschreven zijn voor een oudere PHP-versie of dat ontwikkelaars van plug-ins hun plug-in nog niet herschreven hebben voor de nieuwste PHP-versie. Als er dan toch een update van de PHP-versie wordt uitgevoerd resulteert dit in het slechtste geval in een fatal error waardoor de website niet meer te bereiken is. Om deze reden gebruiken wij HardenedPHP, een manier om oudere PHP-versies te kunnen blijven gebruiken zonder de beveiliging in gevaar te brengen.

Zeer populaire versies van PHP, die in bijna 85% van alle PHP-sites worden gebruikt, worden niet meer ondersteund door de PHP.net-gemeenschap. HardenedPHP beveiligt oude en niet-ondersteunde versies van PHP – 4.4.9, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 7.0, 7.1, 7.2.

HardenedPHP beveiligt oude, en niet-ondersteunde versies van PHP. In die oude versies, inclusief de veelgebruikte 7.2, 7.1, 7.0 en 5.6, worden kwetsbaarheden, zelfs als ze ontdekt worden, niet gepatcht door de PHP.net-gemeenschap. HardenedPHP regelt dit allemaal.

PHP vertegenwoordigt meer dan 79,2% van alle server-side scripts. Vanwege dit brede toepassingsgebruik wordt PHP voortdurend uitgebuit door hackers, waardoor sites kwetsbaar worden.

HardenedPHP houdt uw klanten en servers veilig door alle PHP-versies te patchen tegen bekende kwetsbaarheden – zelfs die versies die niet worden ondersteund door de PHP.net-community. Er zijn meer dan 100 kwetsbaarheden ontdekt, waarvan er vele kritiek waren, voor de niet-ondersteunde versies van PHP. Ze zijn allemaal gepatcht door CloudLinux.