Een veilige website geeft hackers geen kans

Een veilige website geeft hackers geen kans

Een veilige website zonder omkijken

Waarom Managed WordPress Hosting een uitkomst biedt

Er ligt veel op het bordje van een webdesigner als het om veiligheid gaat. Precies om die reden ben ik in 2017 gestart met het aanbieden van Managed WordPress hosting. Dit is een ‘White-label product’ van WP-Provider, een gespecialiseerde WordPress hostingbedrijf dat exclusief via webdesigners deze hostingvorm aanbiedt. WP-Provider laat het eerste klantencontact over aan de webdesigner zodat zij zichzelf 100% kunnen focussen op de ultieme hosting service.

Hackers

MKB-bedrijven zijn steeds vaker het doelwit van cybercriminelen.

De laatste twee jaar verschenen er nogal wat berichten over bedrijven waarvan de website ‘plat’ werd gelegd door cybercriminelen. Pas na het betalen van stevige bedragen was de betreffende onderneming weer bereikbaar voor zijn klanten. Recent nog een keten van tandartspraktijken en in het voorjaar Artis in Amsterdam. In beide gevallen was de impact enorm. Het ondernemen is op zo’n moment compleet ontregeld.

“Mijn bedrijf is te klein om iets te halen”

Dit zullen veel ondernemers denken en daardoor kan het juist mis gaan. De cybercriminelen zoeken namelijk de weg van de minste weerstand en kijken pas dan wat er eventueel te halen valt. Zelfs als het losgeld bij ransomeware meevalt en je weer snel in de lucht bent dan moet je nog maar afvragen wat er gedaan wordt met de klantinformatie die is opgeslagen in de database van de website.

Veiligheid is belangrijker dan een laag maandbedrag voor hosting

Door MKB-ondernemers wordt er vaak redelijk geïnvesteerd in de ontwikkeling van een goede website. Alleen te vaak wordt er daarbij gekozen voor goedkope hosting om de terugkerende maandelijkse kosten laag te houden. Een mooi voorbeeld hoe goedkoop uiteindelijk duurkoop blijkt te zijn.

Wat zijn de belangrijkste veiligheidsaspecten bij hosting?

Voor wat betreft de veiligheid van (WordPress) website zijn er diverse zaken die goed geregeld moeten zijn:

  • Veilig doorvoeren van updates van templates, plug-ins en WordPress core zelf;
  • Regelmatige malware-scans op serverniveau;
  • Een software- en hardware matige firewall;
  • Extra DDoS protectie;
  • Gebruik van de laatste PHP versie (HardenedPHP);
  • Regelmatige externe backups.

Onderaan deze blog kun je in detail lezen wat dit punt voor punt inhoudt

Maar dit biedt toch iedere hostingaanbieder?

Was dat maar waar. Je zou denken dat het vanzelfsprekend is dat alle hosting bedrijven dit standaard aanbieden. Dit is helaas niet zo! De reden waarom hostingbedrijven deze acties niet ondernemen is:

  1. Het meer resources (en dus geld) kost om malware scans, backup-servers en routines in te richten en te onderhouden;
  2. Er voor extra backups ook extra serverruimte nodig is die ze liever aan hostingklanten verkopen.
  3. Het afstemmen van de firewall/modsecurity specifiek op individuele websites meer tijd in beslag neemt;
  4. Niet elke hostingpartij gespecialiseerd is in WordPress.

Daarnaast wordt een deel van de werkzaamheden als optie aangeboden of uit het abonnement gelaten zodat de hosting goedkoop kan worden aangeboden.

Altijd persoonlijk contact!

Toen ik in 2015 begon met het ontwerpen van websites, bleef de hosting meestal bij de partij waar de domeinnaam al door de klant was geregistreerd. Omdat paginalaadsnelheid een belangrijke rol speelt bij de ranking van een website kreeg ik echter steeds meer behoefte aan extra technische support en betere hostingserver-instellingen. Bij de reguliere hostingpartijen is dit een moeizaam, zo niet onmogelijk, proces.

Door en voor WordPress liefhebbers

De samenwerking met WP-Provider komt voort uit mijn behoefte aan ultieme hosting en ook persoonlijk contact als het erop aankomt. ‘Door en voor WordPress liefhebbers’ zo zou je deze hostingvorm kunnen noemen. En dit laatste blijft beheersbaar doordat deze service alleen via webdesigners wordt aangeboden. WP-Provider focust zich 100% op de hosting en ik op de website met als uitkomst: een veilige website voor de klant met een geweldige performance.

Heb je hier vragen over. Bel dan gerust een keer om de mogelijkheden te bespreken.

drs. ing. Eric Cornelissen

drs. ing. Eric Cornelissen

Merkstrateeg | Webdesigner | Online marketeer

Sinds 1988 houd ik mij bezig met marketing en communicatie. Daarbij heb ik veel ervaring opgedaan in verschillende functies en in verschillende branches. Als laatbloeier studeerde ik van 2004 tot 2007 technische bedrijfskunde aan de Hogeschool van Amsterdam en van 2011 tot 2013 marketing aan de Vrije Universiteit. Na het voltooien van deze laatste studie ben ik gestart met Cornelissen.Marketing. Onder deze vlag biedt ik niet alleen mijn ervaring en competenties aan maar ook die van professionals waarmee ik samenwerk. Op die manier beschikt een opdrachtgever voor ieder project dat ik oppak over een team van professionals en heeft daarbij maar één aanspreekpunt.

PS. Voor de fijnproevers…

Zoals beloofd hieronder nog een uitleg van de zes belangrijkste punten voor een veilige website:

Malware-scans

Malware staat voor “malicious software” Het is een uitgebreide term voor schadelijke code die hackers gebruiken om onbevoegde toegang te krijgen or schade aan te doen aan je WordPress website. In de meeste gevallen zal een bot of hacker gebruik maken van een beveiligingslek. Indien een plugin niet meer wordt ondersteund door de ontwikkelaars en er dus geen updates meer voor worden uitgebracht is het van belang dat hier actief actie op ondernomen wordt.

Je wilt absoluut voorkomen dat jouw website een SEO penalty krijgt door Google, daarom voeren wij diverse scans uit op serverniveau waaronder onze WP eXploit scanner tool dat bestanden actief scant wanneer ze naar de server worden geupload door middel van bijvoorbeeld FTP of via WordPress direct. Het kan verdachte bestanden op de server detecteren en voorkomen dat de meeste (met uitzondering van zero-days (de niet bekende exploits) worden geüpload of uitgevoerd op de server.

Software & hardware matige firewall

Door onze firewall oplossing worden niet gebruikte poorten afgesloten, toegang tot bepaalde services afgeschermd en logs continu gescand op verdachte activiteit zoals een verdacht aantal loginpogingen tot WordPress of de e-mailboxen. IP-adressen en ranges worden geblacklisted zodat de aanval wordt gestopt. Het herkent veel verschillende aanvallen zoals poort-scans, SYN-floods en brute-force aanvallen.

DDoS protectie

Indien het om een Ddos aanval gaat is dit soms niet voldoende en wordt het Ddos protectie-shield ingeschakeld. Onze proactieve, realtime monitoringmogelijkheden detecteren en elimineren aanvallen met een hoog volume effectief. Wanneer wij te maken krijgen met een DDoS-aanval, scheidt het DDoS Shield schoon verkeer terwijl de aanval wordt omgeleid naar ons DDoS-scrubcentrum. Ook hebben wij Modsecurity standaard actief voor jouw account wat ervoor zorgt dat verdachte verzoeken direct uitgefilterd worden.

Security-headers

HTTP security headers zijn naar mijn mening een fundamenteel onderdeel van website beveiliging. Door geschikte headers op server of applicatie-niveau (WordPress) in te schakelen, kun je de weerbaarheid van het CMS tegen veel voorkomende aanvallen, waaronder cross-site scripting (XSS) en clickjacking, verbeteren.

Wanneer een gebruiker een site bezoekt via zijn browser, antwoordt de server met HTTP Response Headers. Deze headers vertellen de browser hoe hij zich moet gedragen tijdens de communicatie met de site. Door de juiste security-headers toe te passen zet je een goede stap richting een veiligere website.

Hardened PHP

WordPress beveelt aan dat altijd de laatste PHP-versie gebruikt wordt (en wij ook). Natuurlijk is dit in de praktijk niet mogelijk omdat er bijvoorbeeld custom plug-ins geschreven zijn voor een oudere PHP-versie of dat ontwikkelaars van plug-ins hun plug-in nog niet herschreven hebben voor de nieuwste PHP-versie. Als er dan toch een update van de PHP-versie wordt uitgevoerd resulteert dit in het slechtste geval in een fatal error waardoor de website niet meer te bereiken is. Om deze reden gebruiken wij HardenedPHP, een manier om oudere PHP-versies te kunnen blijven gebruiken zonder de beveiliging in gevaar te brengen.

Zeer populaire versies van PHP, die in bijna 85% van alle PHP-sites worden gebruikt, worden niet meer ondersteund door de PHP.net-gemeenschap. HardenedPHP beveiligt oude en niet-ondersteunde versies van PHP – 4.4.9, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 7.0, 7.1, 7.2.

HardenedPHP beveiligt oude, en niet-ondersteunde versies van PHP. In die oude versies, inclusief de veelgebruikte 7.2, 7.1, 7.0 en 5.6, worden kwetsbaarheden, zelfs als ze ontdekt worden, niet gepatcht door de PHP.net-gemeenschap. HardenedPHP regelt dit allemaal.

PHP vertegenwoordigt meer dan 79,2% van alle server-side scripts. Vanwege dit brede toepassingsgebruik wordt PHP voortdurend uitgebuit door hackers, waardoor sites kwetsbaar worden.

HardenedPHP houdt uw klanten en servers veilig door alle PHP-versies te patchen tegen bekende kwetsbaarheden – zelfs die versies die niet worden ondersteund door de PHP.net-community. Er zijn meer dan 100 kwetsbaarheden ontdekt, waarvan er vele kritiek waren, voor de niet-ondersteunde versies van PHP. Ze zijn allemaal gepatcht door CloudLinux.

Merkwaarde vergroten door gewoon te doen wat je belooft!

Merkwaarde vergroten door gewoon te doen wat je belooft!

Merkwaarde vergroten is het geheime recept voor succes

Als je een succesvol ondernemer vraagt naar het geheime recept voor zijn succes dan zal hij niet direct over merkwaarde beginnen. Het advies dat je krijgt klinkt vaak erg simpel: ‘beloof niet te veel, doe wat je belooft of overtref als het je lukt de klant in zijn verwachting.’ Dit blijkt in de online praktijk echter lastiger te zijn. In onderstaande blog probeer ik je te laten zien dat consistent werken aan iets als ‘merkwaarde’ de sleutel is naar succes.

Te veel beloven is de valkuil

Persoonlijk zijn we vaak geneigd om te veel te beloven (*1). Daarmee maken het niet alleen moeilijker voor onszelf maar vooral voor de beoogde klant. Gedreven door vakkennis en enthousiasme laten we veel meer informatie los op de beoogde klant dan nodig is. De klant wil meestal alleen maar weten of je zijn behoefte kan vervullen op een manier die hij waardevol vindt. Leg daarom alleen uit wat jouw onderneming/merk waardevol maakt en niets meer.

Ben jij je goed bewust van de verwachting die je wekt?

“Het kan toch geen kwaad als ik extra informatie geef? Vele wegen leiden immers naar Rome” hoor ik je denken. Huub van der Lubbe vulde deze zin in één van zijn liedjes mooi aan: ‘Als je weet waar Rome ligt’ en dat is precies waar de schoen wringt. Als jij zelf al niet precies weet waar Rome ligt hoe kan je dan jouw klant de kortste weg wijzen? Je moet precies weten welke waarde jouw merk toevoegt aan het leven van je klant. Alleen dan kun je duidelijk zijn over de kortste weg!

Wijs je klant de kortste weg

Je gaat het pas zien als je het door hebt

Vrij naar de bekende uitspraak van Johan Cruijff: ‘jouw klanten gaan het pas zien als jij het zelf door hebt’. Een wetenschappelijk model (*2) uit 1990 kan hierbij enorm helpen. Het model (bovenaan) vereenvoudigt de complexiteit waarmee de klant de kwaliteit van jouw dienstverlening waardeert en je merk waarde toekent. Het model biedt een duidelijk en eenvoudig inzicht hoe iedere klant uiteindelijk de merkwaarde inschat die jouw merk kan bieden. Ook als je niet Niké of Coca-Cola bent.

Hoe waardevol ben is jouw merk?

De merkwaarde die een klant jouw merk toedicht is uiteindelijk een afweging tussen de kwaliteit die hij verwacht had en welke hij uiteindelijk ervaart. Overtref je de verwachting dan word je positief gewaardeerd, voldoe je aan de verwachting dan is dit neutraal en scoor je onder verwachting dan is de beleving van waarde negatief.

Model van Grönroos

Hoe wordt de verwachting gewekt?

De verwachting wordt gewekt door:

  • De behoefte van de klant;
  • De mond-tot-mondreclame (denk ook aan de rol van reviews);
  • De communicatie door jouw onderneming/merk;
  • Het imago van jouw onderneming/merk.

Hoe wordt dit in de praktijk ervaren?

De ervaring van klanten wordt gevormd door drie verschillende vormen van kwaliteit:

  • De technische kwaliteit; voldeed hetgeen wat je leverde aan de norm;
  • De functionele kwaliteit; werkte jouw oplossing goed in de ogen van je klant;
  • De relationele kwaliteit; hoe was de persoonlijke ervaring met jouw onderneming/merk.

Vooral dit laatste is van grote invloed want wat de klant ook koopt, hij krijgt altijd te maken met jouw team (en reken je website maar als volwaardig teamlid mee).

Welke invloed kun jij hierop uitoefenen?

Simpel gezegd: niet te veel beloven en doen wat je belooft. Steeds weer opnieuw. Wat dit eenvoudiger maakt is één keer goed stil te staan bij het belangrijkste nut dat jouw onderneming/merk te bieden heeft. Waarmee voeg je waarde toe aan het persoonlijke domein van je (toekomstige) klanten? Als je dit namelijk duidelijk hebt dan:

  • Wordt communicatie en het kiezen van de juiste communicatiemiddelen veel eenvoudiger;
  • Kun je veel eenvoudiger ervoor zorgen dat jouw team voor de juiste klantbeleving kan zorgen;
  • Kun je mond-tot-mond reclame stimuleren door gericht reviews te vragen in welke mate de ervaring gelijk was aan de verwachting of zelfs overtrof.

Merkconcept als hoger plan

Overweg om voor de lange termijn te investeren in een merkconcept. Hiermee maak je duidelijk op welke unieke wijze jouw onderneming in een specifieke behoefte voorziet. Er zijn verschillende methoden om tot zo’n merkconcept te komen. Met de methode die ik hanteer heb ik al aardig wat ondernemingen met hun merkwaarde geholpen, door ‘Rome’ goed op de kaart te zetten.

Mocht je naar aanleiding van het bovenstaande interesse of wellicht vragen hebben, neem dan gerust contact op. Ik sta je met plezier te woord!

 

*1 Gourville, J.T. (2006) Harvard Business Review: Eager Sellers & Stony Buyers, Understanding the Psychology of New-Product Adaptation.
*2 Gronroos, C. (1990) Service Management and Marketing: Managing the Moments of Truth in Service Competition. Lexington Books, Lexington.
 
drs. ing. Eric Cornelissen

drs. ing. Eric Cornelissen

Merkstrateeg | Webdesigner | Online marketeer

Sinds 1988 houd ik mij bezig met marketing en communicatie. Daarbij heb ik veel ervaring opgedaan in verschillende functies en in verschillende branches. Als laatbloeier studeerde ik van 2004 tot 2007 technische bedrijfskunde aan de Hogeschool van Amsterdam en van 2011 tot 2013 marketing aan de Vrije Universiteit. Na het voltooien van deze laatste studie ben ik gestart met Cornelissen.Marketing. Onder deze vlag biedt ik niet alleen mijn ervaring en competenties aan maar ook die van professionals waarmee ik samenwerk. Op die manier beschikt een opdrachtgever voor ieder project dat ik oppak over een team van professionals en heeft daarbij maar één aanspreekpunt.