19 februari 2018

5 security tips voor jouw webshop

Een veilige webwinkel of een lek (winkel)mandje?

Creditcard met slotje op toetsenbord

Cybercriminaliteit is er in vele soorten en maten. Dit geldt uiteraard ook voor de webwinkelwereld waar consumenten dagelijks vele transacties uitvoeren. Denk bijvoorbeeld aan datalekken, ransomware of online skimming van creditcardgegevens. Wat is de reputatieschade van je webwinkel als de gegevens van alle klanten op straat komen te liggen? Welke rechtszaken en boetes zijn het gevolg? Om succesvol te kunnen zijn op de lange termijn, is goede security het fundament van iedere webwinkel. Als kleinere webwinkel zonder security-expertise in huis, kan het lastig zijn om de beveiliging op orde te krijgen. In dit artikel deel ik daarom een aantal handige tips.

Zorg ervoor dat je CMS altijd up-to-date is

Het is al lang niet meer noodzakelijk om zelf te kunnen scripten als je een webshop wilt beginnen. Dankzij bestaande softwarepakketten, zoals Magento of PrestaShop, is het makkelijk om als zzp’er of startup zelf een webshop te bouwen. Op basis van kant-en-klare templates kun je zo aan de slag. Deze pakketten maken het makkelijk om snel te beginnen, maar de technische kant vereist wel aandacht en onderhoud. Regelmatig worden security-patches uitgebracht om gedetecteerde lekken zo snel mogelijk te dichten. Als deze patches niet worden geïnstalleerd kan een hacker deze opening gebruiken om toegang te verkrijgen tot jouw CMS-software. Hierdoor wordt jouw veilige webwinkel zo lek als een (winkel)mandje. Wist je trouwens dat verschillende hostingpartijen deze patches ook automatisch voor je kunnen installeren door gebruik te maken van handige tools als Patchman?

Maak gebruik van een SSL-certificaat

Is jouw webshop alleen benaderbaar via https (dus met een slotje) of ook via http? Uit recent onderzoek van Dutch Internet Marketing blijkt namelijk dat 28% van de webwinkels met een keurmerk nog steeds geen SSL-certificaat gebruiken (bron). Dit betekent dat gegevens, zoals een ingevuld formulier of productbestelling, onversleuteld worden verzonden. Als jouw klanten een bestelling plaatsen via internet, kunnen cybercriminelen de verstuurde gegevens ook lezen. Installeer daarom een SSL-certificaat en zorg ervoor dat alle pagina’s alleen benaderbaar zijn via https.

Sinds 1 januari 2016 moeten webwinkels datalekken direct melden bij de Autoriteit Persoonsgegevens (bron). Als blijkt dat webwinkels onzorgvuldig zijn omgegaan met de beveiliging kan dit leiden tot een boete. Het gebruik van een SSL-certificaat is daarbij één van vijf verplichtingen om zorgvuldigheid aan te kunnen tonen (bron). Na de invoering van de Algemene verordening gegevensbescherming (AVG) op 25 mei 2018, blijven de verplichtingen rondom het melden van datalekken grotendeels hetzelfde. De eisen rondom de eigen documentatie van alle datalekken worden wel strenger (bron).

Zorg voor veilige wachtwoorden

“123456”, “qwerty” en “password” zijn misschien makkelijk te onthouden om snel in te loggen, maar het zijn ook de meest voorkomende wachtwoorden (bron). Hackers gebruiken lange lijsten met vele combinaties aan mogelijke wachtwoorden om toegang te krijgen tot jouw webwinkel. Om het een hacker zo moeilijk mogelijk te maken zou een wachtwoord daarom moeten bestaan uit willekeurige tekens en lang genoeg moeten zijn. Daarnaast is het belangrijk dat je een wachtwoord nooit ergens anders opnieuw gebruikt. Handige wachtwoordmanagers als KeePass of Lastpass kunnen helpen om een grote hoeveelheid aan wachtwoorden op een veilige manier op te slaan.

Bij het aanmaken van een klantaccount kun je klanten helpen met de eigen beveiliging door ze gebruik te laten maken van een Password Strength Meter. Hierdoor zien ze meteen of het gekozen wachtwoord sterk genoeg is. Het is trouwens ook aan te raden om de standaardgebruikersnaam van je CMS (zoals “admin”) aan te passen naar een willekeurige gebruikersnaam. Dit maakt de kans voor een hacker om de juiste gebruikersnaam/wachtwoord-combinatie te vinden nog kleiner.

Two-factor authenticatie

Iedereen heeft tegenwoordig wel een mobiel apparaat waar je sms’jes op kunt ontvangen. De grotere webshop-softwareaanbieders bieden tegenwoordig ook de mogelijkheid om two-factor authenticatie in te schakelen. Door hiervan gebruik te maken moet het inloggen met een account ook nog geverifieerd worden door een code die is verzonden naar een bijbehorende smartphone. De hacker moet in dit geval dus gebruikmaken van de gebruikersnaam, het wachtwoord én de mobiele device om toegang te kunnen krijgen. Naast sms’jes is het via tools zoals Google Authenticator ook mogelijk om gebruik te maken van een speciale app of een beveiligingssleutel die kan worden aangesloten op een USB-poort.

Zorg voor een betrouwbare webhostingpartij

Jouw webshop draait op een server binnen een datacenter. Naast het updaten van de software van je eigen CMS is het ook essentieel om servers regelmatig te updaten met nieuwe beveiligingspatches. De meeste webshops hebben geen eigen servers in beheer en zullen dit technische onderhoud daarom uitbesteden aan de webhostingpartij. In dat geval is het goed om te kijken of deze partij voldoet aan de strengere eisen van de AVG/GDPR op het gebied van dataprivacy. Hier vind je vier vragen die jouw webhoster zou moeten kunnen beantwoorden .

Daarnaast is het ook handig om je af te vragen of je persoonlijke gegevens wel wilt opslaan in het buitenland of ervan verzekerd wilt zijn dat de data altijd in Nederland blijft staan. Last but not least, het is uiteraard wel belangrijk dat je erop kunt vertrouwen dat deze hostingpartij security hoog op het prioriteitenlijstje heeft staan en uitgebreid aandacht besteedt aan het zo snel mogelijk oplossen van beveiligingslekken. Als jij je beveiliging volledig op orde hebt, maar de onderliggende infrastructuur is zwak, dan ben je nog steeds kwetsbaar.

Zelf aan de slag?

In dit artikel heb ik een aantal handige tips gedeeld om aan de slag te gaan met de security van je webwinkel. Besef wel: uiteindelijk is alles te hacken, je kunt het cybercriminelen alleen moeilijker maken. Hierbij zullen ze een afweging maken tussen de lusten en de lasten. Zorg er dus voor dat jouw webwinkel een onaantrekkelijk doelwit is voor cybercriminaliteit. Techniek kan je hierbij helpen maar het begint vooral bij bewustzijn van de gebruiker. Als je hulp nodig hebt bij de beveiliging van je webwinkel, dan willen we je hier graag bij helpen. 

Auteur: Bart Carlier - Algemeen directeur bij Yourhosting

Over Yourhosting

Yourhosting is business partner van belangenvereniging Thuiswinkel.org. Bij Yourhosting ben je verzekerd van een veilige en betrouwbare omgeving. Onze informatiebeveiliging is gewaardeerd met de hoogst haalbare certificeringen. Daarnaast is Yourhosting 100% Nederlands en staat je data veilig op Nederlandse bodem.

 

Business partner worden?

Business partners van Thuiswinkel.org zijn dé bedrijven die samen met ons werken aan een sterke en gezonde e-commerce branche. Zij zijn door ons geselecteerd omdat hun diensten meerwaarde bieden aan webwinkeliers. Wil jij ook business partner worden? Bekijk de voordelen.