Een veilige website: het gebruik van standaardcomponenten

Hoe houd je een website veilig?

Door Bobo Boom op 8 maart 2016  |  blog

Als je nadenkt over een nieuwe website of online applicatie, denk je in de eerste plaats aan functionaliteit, inhoud en uitstraling. Wat er achter de schermen gebeurt om de website robuust en veilig te maken is vaak minder duidelijk. Bij Tremani houden we deze 'onzichtbare' kwaliteiten graag voor onze klanten in het oog. Om je een kleine blik in de keuken te geven, schrijven we een aantal blogs over de verschillende soorten aanvallen waar een website tegen bestand moet zijn. Deze keer gaat het over het gevaar van verouderde standaardcomponenten.

Elke website of online applicatie bestaat voor een deel uit technische onderdelen die ook door veel andere sites gebruikt worden. Denk daarbij aan de serversoftware (zoals Apache) of aan een contentmanagementsysteem (zoals Wordpress). Zelfs bij een volledig op maat gemaakte site gebruiken we altijd wel een aantal standaardcomponenten als bouwstenen, bijvoorbeeld voor het veilig afhandelen van invoer in formulieren. Dat doen we niet alleen omdat we daarmee efficiënt kunnen werken. De standaardcomponenten die Tremani gebruikt zijn van hoge kwaliteit, doordat ze door een grote (open-source)gemeenschap continu worden bekeken en verbeterd. 

Wat kan er fout gaan?
Als er toch een keer een beveiligingsprobleem in zo'n standaardcomponent zit, zijn er wereldwijd direct miljoenen websites die hierdoor ook kwetsbaar worden. Dit soort kwetsbaarheden zijn een populair doelwit van hackers, omdat zij vaak automatisch het hele web kunnen scannen om te zien in welke bij sites makkelijk ingebroken kan worden. De ontwikkelaars van dit soort componenten reageren over het algemeen snel en brengen een nieuwe veilige versie uit. Waar nodig draagt Tremani ook bij aan deze verbeteringen. Helaas is het probleem daarmee nog niet de wereld uit, omdat heel veel websites toch met de verouderde versies blijven werken, en dus kwetsbaar blijven.

Zo'n kwetsbaarheid is voor elke site die de kwetsbare componenten gebruikt een probleem. Voor een eenvoudige website bestaat het risico dat de inhoud gewist of aangepast wordt. Maar het kan ook gebeuren dat er bijvoorbeeld een virus geplaatst wordt dat je bezoekers infecteert en zorgt dat browsers de site niet meer willen tonen. Voor websites die met klantgegevens of andere vertrouwelijke informatie werken zijn de risico's natuurlijk nog veel groter. Het is zelfs mogelijk dat een hacker de volledige controle over je webserver overneemt.

Voorkomen is beter dan genezen
​Het is dus belangrijk om te weten welke standaardcomponenten je website gebruikt, en regelmatig te (laten) controleren of hier nieuwe versies van zijn. Hoe vaak je dit doet is een kosten/baten-afweging, maar een jaarlijks controle is al een belangrijke verbetering van de veiligheid. Hackers misbruiken veel vaker jaren oude kwetsbaarheden dan gloednieuwe. Bij Tremani voeren we dergelijke controles regelmatig uit. Zo houden we de websites van onze klanten veilig en up-to-date.

Vragen?
Heb je vragen over dit onderwerp? Neem dan gerust contact met ons op.

Dit artikel is onderdeel van een serie waar we de grootste gevaren die websites bedreigen in begrijpelijke taal uitleggen. Hiervoor volgen we de top-10 van OWASP. Meer technische informatie over dit specifieke risico is te vinden op de pagina OWASP A-9.

Meld u aan voor onze nieuwsbrief