Is mijn website veilig?

Het online vindbaar zijn en het hebben van een bedrijfswebsite is voor veel ondernemers essentieel. Maar hoe kun je herkennen of jouw huidige bedrijfswebsite wel veilig is? Als je overweegt om een nieuwe website te laten ontwikkelen is hier te lezen welke stappen je preventief kunt nemen om de beveiliging te verhogen.

Wie heeft je website gebouwd?

Een groot gedeelte van de ondernemers heeft de bedrijfswebsite laten ontwikkelen door een kennis, student, bevriende ondernemer of webontwikkelaar. Erg handig en vaak ook niet zo duur, maar aspecten met betrekking tot de digitale beveiliging worden hierbij vaak te weinig benadrukt of soms zelfs helemaal over het hoofd gezien.

Tips voor het bepalen van veiligheid

Wat kun je als ondernemer doen als je in het verleden al eens een bedrijfswebsite hebt laten ontwikkelen en er niet zeker van bent hoe het staat met de beveiliging? Met onderstaande vragen kun je zonder diepgaande IT-kennis toch zelf een beeld vormen. Zo kun je in gesprek gaan met partijen die betrokken zijn (geweest) bij de realisatie van jouw bedrijfswebsite.

Hoe scoort mijn website op internet.nl?

Op de website internet.nl kun je gratis controleren of je website en e-mailadres voldoen aan de laatste internetstandaarden. Hoewel deze controle géén beveiligingstest is, levert het wel zeer bruikbare informatie op die je met je leverancier of systeembeheerder, kunt bespreken.

Maakt mijn website gebruik van een beveiligde verbinding?

Je kunt zelf gemakkelijk controleren of jouw website gebruik maakt van een beveiligde verbinding. Ga hiervoor naar de (bedrijfs)website en kijk of er bovenin de browser https:// in de adresbalk te zien is. De letter 's' staat voor 'secure'. Ook zie je een slotje in een groen balkje in de adresbalk of onderin in het browserscherm. Als je op het slotje klikt kun je zien of je daadwerkelijk verbinding hebt met de juiste website. Als dit niet geval is maakt de website gebruik van een onbeveiligde (http) verbinding.

Let op: Als je gebruik maakt van Google Chrome versie 76 (en hoger) dan wordt in de adresbalk www. en https:// niet meer getoond. In het geval dat je toch een http:// pagina bezoekt zal in de adresbalk aangegeven worden dat de verbinding met de website niet is beveiligd.

Is er een beveiligingscertificaat geïnstalleerd?

Wanneer jouw website gebruik maakt van een onbeveiligde (http) verbinding is er geen of onveilig beveiligingscertificaat geïnstalleerd. Met een dergelijk certificaat zorg je er namelijk voor dat de communicatie tussen de browser en server versleuteld wordt. Een beveiligingscertificaat voor je bedrijfswebsite kun je zelfstandig aanvragen, via jouw hostingprovider of leverancier. Deze partij kan je dan ook direct vertellen welke soorten certificaten er zijn en wat deze kosten. Een certificaat hoeft overigens niet altijd geld te kosten, er zijn ook gratis varianten te verkrijgen zoals bijvoorbeeld Let's Encrypt.

Maakt mijn website gebruik van de meest recente beveiligingsupdates? Zo nee, waarom niet?

Voor een veilige website is het van groot belang dat de code van de website geüpdatet is om beveiligingsrisico's te verminderen. Deze belangrijke beveiligingsupdates worden op zeer regelmatige basis uitgebracht en bevatten beveiligingsoplossingen voor alle onderdelen van je website, maar ook bijvoorbeeld voor het content beheersysteem (CMS) op de achtergrond en de mogelijk gebruikte plugins. Om de beveiliging op peil te houden is het belangrijk dat deze beveiligingsupdates ook daadwerkelijk worden doorgevoerd op jouw website. Als er door de leverancier wordt gekozen om niet te updaten is het altijd goed om te weten waarom hiervoor is gekozen. Voor jou als ondernemer kan het echter lastig zijn om zelf te controleren of alles up-to-date is, maar hiervoor kun je wel specifieke afspraken maken. Vraag je leverancier bijvoorbeeld eens wanneer de laatste beveiligingsupdates zijn doorgevoerd of vraag of je hierover op de hoogte gehouden kunt worden. Vergeet dan niet ook navraag te doen naar eventuele verouderde plugins op de website aangezien deze voor aanvallers veelal gemakkelijke ingangen zijn.

Hoe wordt de toegang tot mijn contentmanagementsysteem beschermd?

Veel bedrijfswebsites worden opgeleverd met een achterliggend contentmanagementsysteem (CMS) om de website te voorzien van inhoud. Vraag jouw leverancier hoe de toegang hiervoor is ingeregeld en welke beveiligingsmaatregelen er zijn getroffen om het CMS te beschermen. Om de juiste vragen te stellen aan jouw leverancier wordt aangeraden om zelf, of in samenspraak met de leverancier, deze stappen door te nemen.

Wanneer is mijn website voor het laatst getest op beveiligingsrisico's door een externe partij?

Je website kan wellicht al jaren lang online staan, maar vergeet deze niet periodiek (minimaal 1 maal per jaar) te laten onderzoeken door een onafhankelijke externe partij. Het bepalen van de omvang en diepgang (scope) doe je idealiter in overleg met de experts van een dergelijk securitybedrijf. Waar je precies op moet letten bij een geschikt securitybedrijf kun je hier nalezen.