Website beveiliging is een onderwerp dat veel MKB-ondernemers uitstellen. "Ons bedrijf is te klein om gehackt te worden." Het tegendeel is waar: kleine bedrijven zijn juist een populair doelwit, precies omdat de beveiliging vaak slecht op orde is. Hackers gebruiken geautomatiseerde tools die dagelijks miljoenen websites scannen op kwetsbaarheden. Ze zoeken niet specifiek jou, maar als jouw website een lek heeft, gaan ze erdoor.
De gevolgen van een gehackte website zijn ernstig: klantgegevens worden gestolen, je website verspreidt malware naar bezoekers, je wordt geblokkeerd door Google, en je reputatie krijgt een klap die moeilijk te herstellen is. Plus: onder de AVG ben je verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens. Niet doen kost je boetes.
In dit artikel bespreken we de concrete maatregelen die elke MKB-ondernemer moet nemen, ook zonder diepgaande technische kennis.
SSL: de absolute minimum
SSL (Secure Sockets Layer) is de technologie die zorgt voor de versleutelde verbinding tussen je website en de bezoeker. Je herkent het aan het slotje in de adresbalk en het "https://" voor je domeinnaam. Zonder SSL verstuurt je website data in leesbare tekst, wat betekent dat iedereen op het netwerk van de bezoeker mee kan kijken.
Google straft websites zonder SSL met lagere rankings. Browsers tonen een waarschuwing "Niet veilig" aan bezoekers. Conversies dalen direct zodra bezoekers die waarschuwing zien.
SSL is tegenwoordig gratis via Let's Encrypt en wordt automatisch ingesteld door goede hostingproviders. Als je website nog op http:// staat, is dat een urgent probleem. Los het deze week op.
Wat je verder moet controleren: • HTTPS overal Zorg dat alle pagina's, ook interne links en afbeeldingen, via HTTPS worden geladen. Een gemengde verbinding (HTTPS-pagina met HTTP-content) triggert nog steeds browserwarnings. • HTTP naar HTTPS redirect Alle HTTP-verkeer moet automatisch doorgestuurd worden naar HTTPS. Controleer dit door http:// voor je domeinnaam te typen. Word je doorgestuurd? • HSTS header Een HTTP Strict Transport Security header vertelt browsers dat ze nooit meer HTTP mogen proberen voor jouw domein. Dit voorkomt aanvallen waarbij iemand de verbinding onderschept.
Updates: de meest onderschatte beveiligingsmaatregel
Verreweg de meeste hacks gebeuren via bekende kwetsbaarheden in verouderde software. WordPress, plugins, thema's: ze worden continu bijgewerkt omdat er nieuwe beveiligingslekken worden gevonden. Als jij die updates niet installeert, staat de deur wagenwijd open.
Dit is het grote risico van WordPress-websites: ze bestaan uit meerdere lagen die allemaal up-to-date moeten zijn.
- ▸WordPress zelf de kern-software
- ▸PHP de programmeertaal waarop WordPress draait
- ▸Thema het visuele framework van je website
- ▸Plugins soms tientallen, allemaal met hun eigen updatecyclus
Een gemiddelde WordPress-website heeft 15 tot 30 plugins. Als elk van die plugins maandelijks een update uitbrengt, zijn dat potentieel 30 updates per maand die je moet bijhouden. Doe je dat niet, dan is het een kwestie van tijd.
De oplossing: • Automatische updates inschakelen voor kleine WordPress-updates en beveiligingspatches • Wekelijks controleren op updates voor plugins en thema's • Ongebruikte plugins verwijderen elke actieve plugin is een potentieel aanvalspunt. Minder is meer. • Thema's en plugins alleen van betrouwbare bronnen gebruik alleen plugins met veel actieve installaties en recente updates
Het alternatief is een maatwerk website op een modern framework als Next.js. Zulke websites hebben geen plugin-ecosysteem en een veel kleiner aanvalsoppervlak. Updates van het framework worden centraal verwerkt, niet per installatie.
Wachtwoorden en toegangsbeheer
Zwakke wachtwoorden zijn nog steeds verantwoordelijk voor een groot deel van de hacks. "Admin/admin", "welkom123", of het gebruik van de bedrijfsnaam als wachtwoord: het klinkt ongelooflijk, maar het komt dagelijks voor.
Concrete maatregelen: • Gebruik een wachtwoordmanager zoals Bitwarden (gratis), 1Password, of Dashlane. Genereer unieke wachtwoorden van minimaal 16 tekens voor elk account. • Twee-factor authenticatie (2FA) activeer dit op je CMS, hostingpanel, domeinnaam-registrar en DNS-provider. Zelfs als een wachtwoord uitgelekt is, kan een aanvaller er dan niet in. • Beperk admin-toegang geef medewerkers alleen de rechten die ze nodig hebben. Een copywriter heeft geen admin-toegang nodig. • Verwijder ongebruikte accounts ex-medewerkers of oude testaccounts zijn aanvalspunten. • Verander de standaard admin-URL bij WordPress /wp-admin is de standaard loginpagina en wordt continu geprobed. Verander dit naar iets onvoorspelbaars.
Backups: de vangnet die je nooit wilt gebruiken maar altijd nodig hebt
Een backup is geen beveiligingsmaatregel die aanvallen voorkomt, maar het is het verschil tussen een incident en een ramp. Als je website gehackt wordt of crasht, bepaalt je backup of je binnen een uur terug online bent of weken bezig bent met herstel.
De regels voor goede backups: • Dagelijkse automatische backups van zowel de bestanden als de database • Externe opslag backups op dezelfde server als de website zijn waardeloos als de server gehackt wordt. Sla backups op in een aparte cloud-omgeving (Dropbox, Google Drive, AWS S3) • Meerdere versies bewaren minimaal 30 dagen aan dagelijkse backups, zodat je kunt teruggaan naar voor de hack • Test je backups een backup die niet werkt bij herstel is nutteloos. Herstel eens per kwartaal een testbackup om te controleren dat het werkt. • Bewaar backups apart van je hosting als je hostingprovider een probleem heeft, wil je je backups elders hebben
OWASP Top 10: de meest voorkomende kwetsbaarheden
OWASP (Open Web Application Security Project) publiceert jaarlijks een lijst van de meest voorkomende beveiligingsproblemen in webapplicaties. Je hoeft geen developer te zijn om de risico's te begrijpen.
De meest relevante voor MKB-websites: • SQL-injectie formulieren die niet goed beveiligd zijn, kunnen misbruikt worden om je database te manipuleren. Elk formulier op je website moet invoer valideren en sanitizen. • Cross-site scripting (XSS) kwaadaardige scripts worden geinjected via invoervelden en uitgevoerd in de browser van bezoekers. Dit kan leiden tot cookie-diefstal en phishing. • Broken access control gebruikers krijgen toegang tot pagina's of data waar ze geen recht op hebben. Denk aan een ingelogde gebruiker die de URL aanpast om de data van een andere gebruiker te zien. • Verouderde componenten precies het updates-probleem dat we eerder bespraken.
Voor een WordPress-website: installeer een beveiligingsplugin als Wordfence of Sucuri die actief scant op bekende kwetsbaarheden en aanvalspogingen blokkeert.
WordPress versus maatwerk: het beveiligingsverschil
WordPress heeft een marktaandeel van ongeveer 43% van alle websites wereldwijd. Dat maakt het het meest aantrekkelijke doelwit voor hackers. Niet omdat WordPress onveilig is van zichzelf, maar omdat de schaal enorme voordelen biedt voor aanvallers: een kwetsbaarheid in een populaire plugin treft miljoenen websites tegelijk.
Een maatwerk website op een modern framework als Next.js heeft een fundamenteel ander beveiligingsprofiel: • Geen plugin-ecosysteem met tientallen externe codebases • Geen dynamische server-side rendering die directe database-toegang vereist • Statische of server-side gegenereerde pagina's die geen aanvalspunten bieden • Kleinere codebase die makkelijker te auditen is
Dit betekent niet dat maatwerk-websites onkwetsbaar zijn. Maar het aanvalsoppervlak is significant kleiner, en het onderhoud is eenvoudiger.
Beveiligingschecklist voor vandaag
Loop deze lijst door en vink af wat je al geregeld hebt:
- ▸SSL-certificaat actief en correct geconfigureerd
- ▸Automatische redirect van HTTP naar HTTPS
- ▸Alle software, plugins en thema's up-to-date
- ▸Sterke wachtwoorden via een wachtwoordmanager
- ▸Twee-factor authenticatie op alle admin-accounts
- ▸Dagelijkse backups met externe opslag
- ▸Ongebruikte plugins en thema's verwijderd
- ▸Ongebruikte accounts verwijderd
- ▸Beveiligingsplugin actief (WordPress)
Alles aangevinkt? Dan zit je aanzienlijk beter dan het gemiddelde MKB-bedrijf. Zijn er punten die je mist? Begin dan bij de top van de lijst en werk je naar beneden.
Wil je een beveiligingsaudit van je huidige website, of overweeg je over te stappen naar een veiliger platform? Neem contact op via info@arkadigital.nl. We kijken met je mee en geven concrete aanbevelingen.