Van oorsprong op LinkedIn gepubliceerd op 17 april 2018
1. Eigen ontwerp veiligste keuze
Om verzekerd te zijn van een veilige website is volgens mij het kiezen voor een eigen ontwerp in HTML5 en PHP nog steeds de beste optie. Niemand kan uit de broncode opmaken hoe je je site hebt opgebouwd, met of zonder PHP of MySQL.
2. CMS niet perse veilige keuze
De meeste mensen, de leken onder ons, kiezen voor een CMS (Content Management System) zoals Joomla, Drupal, WordPress omdat je de technische opzet van een website niet zelf hoeft te ontwerpen. Je hebt geen kennis van HTML, CSS, PHP nodig.
Tegenwoordig voorzien hostingsbedrijven in het automatisch installeren van een CMS binnen een hostingspakket. Vervolgens maak je je keuze voor een template of thema en je kunt de site naar eigen inzicht met tekst en afbeeldingen gaan inrichten.
Laten we het veelgebruikte WordPress als voorbeeld nemen. Zolang je ervoor zorgt dat WordPress en de geactiveerde Plugins up-to-date zijn en je voor de beveiliging de Plugin WordFence gebruikt, de loginnaam en wachtwoord geheim houdt, kunnen er in beginsel niet echt grote ongelukken gebeuren. Zorg er bovendien voor dat de loginnaam niet overeenkomt met de domeinnaam.
Deze CMS heeft echter wel een fundamentele zwakte. Iedere potentiële hacker kent de url van de login-pagina (http://www.website.com/wordpress/wp-login.php) van WordPress naar de bewerkingsomgeving. Pogingen om illegaal in te loggen gebeurt dus heel vaak waar WordFence dan gelukkig melding van maakt.
In de gratis versie van WordFence zijn IP-adressen van ongewenste inloggers handmatig te blokkeren. In de betaalde versie kunnen complete landen in één keer geblokkeerd worden.
Een leek heeft geen andere keus dan voor een CMS te kiezen. Een SSL-certificaat is dan wel een absolute must. De gekozen CMS wordt net als een 'gewone' website hierdoor een stuk veiliger.
3. SSL-certificaat (https://) gebruiken
SSL zorgt ervoor dat het verkeer tussen de computer van de gebruiker en het CMS-platform beveiligd is.
Ook als er gebruik wordt gemaakt van een formulier op de website is SSL zeer gewenst.
Een SSL-certificaat is voor de ranking bij Google van belang. Een website met SSL krijgt voorrang boven sites zonder SSL.
Browsers zoals Firefox en Chrome bewaren bij een login-scherm van een SSL-beveiligde website de loginnaam, bij een website zonder SSL moet je elke keer de loginnaam opnieuw handmatig invoeren. Zo'n site wordt bij deze browsers als 'onveilig' aangemerkt.
De kosten voor het certificaat zijn te overzien. Er is zelfs al een Nederlands hostingsbedrijf dat elk hostingpakket inclusief SSL aanbiedt.
Bronnen: Transport Layer Security, Wat is een SSL certificaat?, Veilige verbindingen met SSL certificaten, Met een SSL-certificaat en HTTPS hoger in Google, Hogere ranking in Google met SSL-certificaat.
Origineel op LinkedIn: Wat maakt een webpagina veilig?
Joost van Meeteren
Validatie: Nu Html Checker | De W3C CSS Validatie Service