5 oktober 2015

5 beveiligingstips voor e-commerce websites

Tjarko Kwee - Internedservices

online veiligheid in de cloud - plaatje van een wolkje met een slot tussen twee handen

Je kunt een willekeurige nieuwssite openen en de berichten over gehackte sites, een aanval of ander online gevaar vliegen je om de oren. Onze wereld speelt zich meer en meer online af. Daarom worden veiligheid en beveiliging van online systemen ook steeds belangrijker.

Als je business zich primair online bevindt, is het cruciaal om security op je prioriteitenlijst te zetten. Hier volgen vijf tips om de beveiliging van je (e-commerce) website te verbeteren. 

1: Maak gebruik van een SSL certificaat

De eerste tip is wellicht een inkoppertje. Toch zien we nog vaak genoeg dat persoons- en betalingsgegevens in een webwinkel via een onbeveiligde verbinding worden verzonden. Dat is vreemd, omdat iedere webwinkel wettelijk verplicht is een SSL certificaat te gebruiken. Het College bescherming persoonsgegevens (CBP) zegt namelijk: “Het CPB ziet er op toe dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd en dat jouw privacy ook in de toekomst gewaarborgd blijft.”

Ook wanneer je gebruik maakt van een payment service provider die betalingen beveiligd verstuurt, heb je zelf een SSL-certificaat nodig omdat je persoonlijke gegevens verstuurt, zelfs al met een contactformulier. Maak van de nood een deugd en schaf een EV (Extended Validation) SSL certificaat aan; deze kleurt de adresbalk groen en werkt conversieverhogend.

2: Dicht veelvoorkomende gaten in een website

Er zijn twee veelvoorkomende kwetsbaarheden die e-commerce websites zouden moeten oplossen. Veel sites zijn vatbaar voor zogeheten SQL injection aanvallen. Kwaadwillenden vallen dan je webapplicatie aan met SQL verzoeken aan de database van de website en proberen op deze manier informatie uit de database te verkrijgen.

Een andere kwetsbaarheid waar e-commerce omgevingen een antwoord op moeten hebben zijn Cross Site Scripting (XSS) aanvallen. Dergelijke aanvallen kunnen plaatsvinden wanneer je website data ontvangt en deze niet goed verwerkt. Er kan kwaadaardige code worden geïnjecteerd waardoor gebruikersaccounts worden overgenomen of bezoekers worden doorgestuurd naar schadelijke websites zonder dat ze dat doorhebben.

Mocht jouw omgeving hier geen kant-en-klare oplossing voor hebben, schakel dan een specialist in die deze lekken voor je dicht.

3: Maak een plan en bescherm je tegen DDoS-aanvallen

Steeds vaker maken kwaadwillenden gebruik van technieken om je hele platform uit de lucht te halen. Voor een schijntje - de gemiddelde prijs voor het huren van een aanvaller is $38 per uur - verhinderen Distributed Denial-of-Service (DDoS) attacks dat bezoekers je webshop kunnen bereiken. Dit heeft natuurlijk een directe impact op je inkomsten; bij grotere webwinkels loopt het al snel op tot duizenden euro’s per uur. Daarnaast zorgt de imago- en reputatieschade mogelijk nog voor een veel groter effect op de lange termijn. Aanvallen kunnen uren tot dagen duren.

Er zijn een aantal punten die je vandaag al kunt doorvoeren om de schade van een DDoS-aanval te beperken. Daarnaast bestaan er oplossingen om het schadelijke verkeer te scheiden van je legitieme bezoekers. Dit is gemakkelijk in te stellen; je laat het verkeer dan eerst via een andere route lopen zodat deze gescand kan worden.

4: Gebruik two-factor authentication waar dat kan

Met gestolen of onderschepte inloggegevens wordt vaak ‘ingebroken’ op systemen. Criminelen gebruik social engineering (je voordoen als iemand anders), phishing, malware en andere methodes om gebruikersnamen en wachtwoorden te achterhalen.

Om dit probleem tegen te gaan kan two-factor authentication ingezet worden. Met deze techniek wordt naast de gebruikelijke inloggegevens nog een andere code gegenereerd, via een app of sms, die ook ingevuld moet worden. Banken gebruiken deze methode ook, wanneer je een betaling doet via internetbankieren. Dit is een effectief middel om criminelen op afstand te houden.

5: Controleer de security bij jouw partners

Je kunt er alles aan hebben gedaan om je e-commerce omgeving te beveiligen tegen kwaadwillenden en toch slachtoffer worden van een aanval of inbreuk op je systeem. Dat komt omdat je zeer waarschijnlijk gebruik maakt van de diensten van andere partijen.

Jouw hostingpartner, payment processor, zelfs je externe callcenter is vatbaar voor criminelen. Zorg ervoor dat je de partner kiest die het belang van security onderkent en ernaar handelt. Vraag bijvoorbeeld naar welke certificaten zij hebben op het gebied van beveiliging.

Conclusie

Je omgeving is vatbaar voor aanvallen van kwaadwillenden. Gelukkig zijn er een hoop maatregelen die je kunt nemen ter bescherming van jouw webshop. Als je bovenstaande tips ter harte neemt en doorvoert, kom je een heel eind. Veel succes!

Meer over veiligheid? of Meer over Internedservices?

Tjarko Kwee - Internedservices Auteur: Tjarko Kwee, Sales Director bij Internedservices

Thuiswinkel.org business partner
Internedservices 
Wielingenstraat 8
1441 ZR Purmerend

www.is.nl
Geef uw mening