Jaarlijks voert Forus‑P veiligheidsscans uit bij webshops die zich laten certificeren via Thuiswinkel.org. Wat daarbij opvalt: veel beveiligingsproblemen zijn niet technisch ingewikkeld, maar ontstaan doordat basismaatregelen niet structureel zijn ingericht.

In de praktijk zien we terugkerende risico’s zoals malware, accountovername, misbruik van inloggegevens en phishing. Vaak niet omdat webshopeigenaren niets doen, maar omdat veiligheid wordt gezien als een eenmalige check in plaats van een doorlopend proces.

Op basis van onze ervaring hebben we de belangrijkste signalen van een veilige webshop op een rij gezet. Deze signalen helpen webshopeigenaren te beoordelen waar ze staan, welke risico’s het grootst zijn en welke maatregelen nú het meeste effect hebben.

1. De technische basis is aantoonbaar op orde

Veel kwetsbaarheden vallen binnen de categorieën van de OWASP Top 10, een wereldwijd erkende lijst van de meest kritieke veiligheidsrisico’s in webapplicaties. Deze lijst laat zien waar aanvallers het vaakst misbruik van maken en waar basisbeveiliging vaak tekortschiet.

Meest voorkomende problemen in webshops

• Verouderde webshop software of plug-ins: updates beschikbaar, maar niet geïnstalleerd.
• Verouderde server- of PHP-versies: onderliggende software ontvangt geen beveiligingsupdates meer.
• Cross-Site Scripting (XSS): onvoldoende gefilterde invoer waardoor schadelijke code uitgevoerd kan worden in de browser van bezoekers.
• Onveilige of overbodige services/configuraties: bijvoorbeeld XML-RPC of andere ongebruikte interfaces die extern bereikbaar zijn.
• Ontbrekende security headers: bijvoorbeeld headers die bescherming bieden tegen clickjacking of script misbruik.

De gevolgen hiervan zijn concreet: malware op productpagina’s, SEO-spam, sessie kaping van klantaccounts, overname van beheerdersaccounts of zelfs datalekken. Dit zijn geen theoretische risico’s maar incidenten die direct het vertrouwen van klanten en partners raken. Een veilige webshop kan aantonen dat deze technische basis periodiek wordt gecontroleerd en opgevolgd.

2. Er wordt getest én verbeterd

Regelmatig testen is essentieel om kwetsbaarheden tijdig te ontdekken. Met aantoonbaar bewijs dat je je best hebt gedaan om cyberaanvallen te voorkomen en de schade te beperken, wek je vertrouwen bij klanten. En mocht er toch iets misgaan, dan kan een boete lager uitvallen of zelfs helemaal komen te vervallen.

Scan versus pentest; wat is het verschil?

Niet elke test is hetzelfde. In de praktijk zien we dat webshops vaak beide nodig hebben, afhankelijk van complexiteit en risico.

• Webapplicatiescan: middels een DAST (Dynamic Application Security Testing) scanner voeren wij een controle uit op de OWASP Top-10 kwetsbaarheden. De scan wordt door ons handmatig voorbereid, geautomatiseerd uitgevoerd en na afloop handmatig beoordeeld. Dit maakt periodieke scans geschikt om veelvoorkomende risico’s snel en structureel te signaleren.
• Penetratietest: wordt uitgevoerd door een ethisch hacker die de applicatie actief aanvalt met gebruik van geavanceerde tools, handmatige technieken en menselijke logica. Zo worden complexe kwetsbaarheden ontdekt die geautomatiseerde scans mogelijk missen. Denk aan:
• Fouten in toegangsrechten of rollen
• Privilege escalation
• Misbruik van inlogmechanismen
• Manipuleerbare kortings- of prijslogica
• Scenario’s van account- of datamisbruik

Wanneer is een pentest verstandig?

Een penetratietest is vooral aan te raden in situaties met een verhoogd risico, bijvoorbeeld:

• Voor ingebruikname van een nieuwe applicatie
• Bij veel maatwerk of complexe functies
• Bij integratie met externe systemen of API’s
• Als er externe data of persoonsgegevens worden opgeslagen
• Wanneer meerdere rollen met verschillende rechten bestaan
• Bij hoge transactievolumes
• Na eerdere incidenten

Must-have checks voor iedere webshop

Ongeacht grootte of platform zijn er een aantal basismaatregelen die iedere webshop op orde zou moeten hebben:

• Periodieke webapplicatiescans (min. 6 per jaar)
• Goede patch- en updateprocedure
• Multi-factor authenticatie op alle accounts
• Accountrechten (alleen noodzakelijke rechten en geen onnodige accounts)
• Verdachte inlogpogingen en afwijkende activiteiten
• Testen van back-ups

Tip: Maak gebruik van een cyber checklist of laat een review uitvoeren om te kijken waar je staat. Zo zie je snel welke maatregelen al goed geregeld zijn en waar nog verbetering nodig is. Dit helpt om structureel risico’s te verkleinen en prioriteiten te stellen.

3. Weerbaar tegen phishing en social engineering

Veel beveiligingsincidenten beginnen niet met code, maar met menselijk handelen. Medewerker die bijvoorbeeld een nep-supportmail openen, een betaalverzoek goedkeuren of inloggegevens hergebruiken, vormen een aantrekkelijk doelwit voor aanvallers. Binnen e‑commerce zien we dat deze aanvallen steeds professioneler en moeilijker te herkennen worden, van nepleveranciers tot deepfake-telefoontjes.

Wat helpt in de praktijk tegen phishing en social enigineering?

Effectieve bescherming vraagt om een combinatie van mens, techniek en proces. Alleen een losse maatregel is meestal niet voldoende.

• Bewustwording bij medewerkers: Awareness trainingen en phishingtests voor medewerkers helpen om gedrag te toetsen en te verbeteren
• Multi-factor Autenticatie (MFA) op accounts: verkleint de kans op accountovername, maar combineer dit altijd met uitleg om MFA‑fatigue te voorkomen. Te vaak vragen om codes kan leiden tot per ongeluk goedkeuren. Combineer MFA met awareness trainingen zodat medewerkers begrijpen waarom het belangrijk is.
• Duidelijke Interne procedures: leg vast hoe wordt omgegaan met gevoelige acties, zoals betaalwijzigingen of accountbeheer.
• E-mail- en domeinbeveiliging: SPF, DKIM en DMARC helpen om domeinspoofing op email tegen te gaan.
• Logische rollenscheiding testen: check of nieuwe functies, accounts of plug-ins niet per ongeluk te veel rechten krijgen.
• Dependency monitoren en signalering: gebruik tools die direct waarschuwingen geven bij kwetsbaarheden in third-party libraries. Stel automatische detectie van abnormaal aantal orders of betalingswijzigingen in om vroegtijdig problemen te ontdekken.
• Externe koppelingen verifiëren: test integraties met leveranciers en API’s periodiek op veiligheid.
• Incidentenrespons: zorg voor een beknopt incident response plan, maak iemand verantwoordelijk voor incidenten en zorg dat iedereen weet bij wie ze moeten zijn als er iets gebeurt.

Feiten en fabels over veilige webshops

Fabel: “Wij zijn te klein om interessant te zijn voor hackers.”
Feit: Hackers maken hier juist vaak gebruik van. Kleine webshops hebben vaak minder strikte beveiliging en kunnen een ingang zijn naar grotere leveranciers of partners.

Fabel: “Ons platform is veilig, dus wij ook.”
Feit: Naast de veiligheid van het platform zelf is het belangrijk om ook te kijken naar plugins of aanvullende functionaliteiten, updates en medewerkers. Technische controles, duidelijke processen en goed getraind personeel zijn cruciaal.

Fabel: “Een scanrapport met veilige uitslag betekent dat we veilig zijn.”
Feit: Veiligheid zit in opvolging en proces, niet in één rapport. Een scan is altijd een momentopname. Daarom is het belangrijk dat webshops regelmatig worden gescand en issues consequent worden opgelost.

Fabel: “We hoeven de scanner niet te whitelisten, als onze beveiliging ze tegenhoudt zijn we toch veilig.”
Feit: Voor een betrouwbare scan moet de scanner toegang krijgen (gewhitelist) om de applicatie zelf te testen. Botbeveiliging kan een geautomatiseerde scan blokkeren, maar beschermt niet tegen handmatige aanvallen. Zie het als een “tuinpoort”: als een hacker er overheen kan springen, moeten de deuren en ramen van het huis alsnog goed dicht zitten.

Jaarlijkse toetsing van Thuiswinkel

Thuiswinkel.org voert jaarlijks een grondige veiligheidscheck uit. Hierbij worden webshops van leden zowel technisch als juridisch beoordeeld. Je moet elk jaar aantoonbaar veilig zijn om een hercertificering te halen.

Voor webshops betekent dit:

• Controle van technische en AVG-maatregelen
• Inzicht in de belangrijkste risico’s
• Concrete verbeterpunten en opvolging
• Aantoonbare inspanning richting klanten en partners

Met de jaarlijkse toetsing helpt Thuiswinkel.org webshops niet alleen om aan een norm te voldoen, maar om veiligheid structureel te organiseren. De toetsing is onderscheidend en gaat verder dan algemene waarborgen of platform-eisen. Niet als momentopname, maar als vast onderdeel van professioneel webshopbeheer

Lees meer

Wat de periodieke scan zichtbaar maakt

Sinds de invoering van de jaarlijkse scans zien we in de praktijk:

• 50% van webshops van nieuwe leden is bij de eerste scan onveilig
• 94% van alle leden is bij de jaarlijkse controle wél veilig dankzij betere updates, awareness en alertheid van developers

Helaas is 3% van de webshops elk jaar opnieuw onveilig. Juist omdat risico’s zich blijven ontwikkelen, is periodieke toetsing onderdeel van de certificering en kunnen bevindingen tijdig worden opgevolgd.

Periodieke toetsing zorgt ervoor dat:

• Updates regelmatig worden doorgevoerd
• Developers beter weten waar op te letten bij nieuwe ontwikkelingen
• Risico’s gestructureerd worden opgevolgd

Wil je morgen al beginnen? Deze vier acties leveren direct effect op

1. Controleer of alle accounts MFA gebruiken én bespreek dit met je team om fatigue te voorkomen.
2. Zorg dat medewerkers alleen de rechten hebben die ze echt nodig hebben en verwijder accounts van ex-medewerkers.
3. Ga op zoek naar een awareness training of phishingtest voor medewerkers.
4. Check via internet.nl of SPF, DKIM en DMARC correct zijn ingesteld voor e-mail en test je website op mogelijke verbeteringen op hostingniveau.

Afsluiting

Veiligheid is een doorlopend proces, geen vinkje. Met een goede technische basis, periodieke scans, een pentest, aandacht voor medewerkers en processen, en actuele maatregelen zoals MFA-awareness en slimme preventieve tips, verklein je de grootste risico’s en vergroot je het vertrouwen richting klanten en partners.

Over Forus-P

Forus-P helpt bedrijven zich te beschermen tegen cyberdreigingen door verbeteringen aan te dragen, webapplicaties te controleren op kwetsbaarheden en medewerkers te trainen in het herkennen van bedreigingen. Al onze diensten helpen het risico op financiële, operationele en reputatieschade te verminderen. Binnen de Thuiswinkel.org‑certificering helpt Forus‑P webshops om deze beveiliging aantoonbaar en structureel op orde te houden.