"Maar ik heb een kleine, niet al te druk bezochte, simpele website, met een paar artikelen erop en verder niks! Daar heeft een hacker toch niks aan?" Nou... wel dus. Deze blog legt uit wat jouw website betekent voor een hacker.
Stel, je bent een minder eerlijk persoon (ik weet dat je dat niet bent. Maar doe even alsof). Je loopt op straat, op zoek naar een fiets, want je moet dringend van A naar B. En daar staan er twee. Een hippe, dure, mooie, gloednieuwe, met zes sloten, onder een lantaarnpaal en in het zicht van een café met grote ruiten. En, vlak daarnaast, maar nét voor het pand van de buren waar de gordijnen dicht zijn, en buiten de lichtkring van de lantaarnpaal, staat zo'n typische stadsfiets.
Achterlicht kapot, hier en daar wat roest, scheurtje in het zadel, maar prima geschikt om iemand van A naar B te brengen. En: hij staat niet op slot. Ga je dan, in het volle licht, die mooie beach cruiser meenemen? Natuurlijk niet. Je stapt achteloos op de stadsfiets en bent al kilometers verderop voordat de eigenaar ook maar in de gaten heeft dat zijn rijwiel weg is. Want je had geen hippe dure mooie gloednieuwe fiets nodig, je moest van A naar B.
Zo werkt het bij websites ook. Natuurlijk is het een enorme kick als je een grote website van een gerenommeerd bedrijf kunt hacken, maar voor het gros van de hackers gaat het daar niet om.
Waar het dan wel om gaat? Jouw website gebruiken om schade aan te richten, vaak om er geld mee te verdienen. Bijvoorbeeld door het versturen van massa’s spam of phishing mails vanaf het IP-adres van jouw website (geheel geautomatiseerd).
Of het plaatsen van zichtbare en/of onzichtbare links naar dubieuze websites. Of, ook niet fijn: ze gooien je site op slot en je mag er pas na betaling weer op. Of, als er persoonsgegevens op je website staan – bijvoorbeeld ingevulde formulieren: ze stelen de ingevulde persoonsgegevens en gebruiken die voor identiteitsdiefstal. Of, als je een webshop hebt: ze stelen je klantgegevens én leiden je betaalpagina om naar een phishing pagina.
In april 2020 kwam in het nieuws dat er tientallen Nederlandse sites waren gehackt, waarbij de criminelen de site gebruikten om illegale corona-'medicijnen' aan te bieden. Mensen die op zoek zijn naar zo'n medicijn, komen dan via een zoekopdracht op zo'n gehackte site terecht, bestellen medicijnen, betalen ze, en ontvangen vervolgens niets. Vrijwel altijd gaat het dan om kleine sites die niet onderhouden worden, bijvoorbeeld van ZZP'ers.
Sommige hostingbedrijven gooien keihard je site plat als-ie gehackt is. Andere, Yourhosting bijvoorbeeld, sturen je een mail als je site gehackt is. Die mails blinken niet uit in duidelijkheid. Ze schrijven bijvoorbeeld: "We hebben geïnfecteerde bestanden gevonden op uw website", maar niet wat dat betekent, namelijk dat je gehackt bent.
En helpen met oplossen, dat doet een hostingbedrijf meestal niet. Het is immers jouw website, het hostingbedrijf levert alleen de plek waar die site staat. Wordt de site gehackt, dan sta je er alleen voor. Een gehackte site fiksen kan een behoorlijke uitdaging zijn. Dat kun je dus maar beter voorkomen.
Als eigenaar van je website ben jij degene die verantwoordelijk is voor de veiligheid én voor de gegevens die mensen op je website invullen – ook al vullen ze zelf dat formuliertje in. Wordt jouw site gehackt, dan zit jij dus met de problemen. De Datalek Meldplicht (verplicht volgens de AVG) scherpt die verantwoordelijkheid nog eens aan: als er persoonsgegevens lekken vanaf jouw site, ben je verplicht dat te melden.
Het is dus zaak om je fiets op slot te zetten. Niet met één, maar met meerdere sloten. Allereerst zorg je dat alles altijd up to date is. Zorg voor een sterk wachtwoord (hoe meer tekens hoe beter – verschillende tekens natuurlijk). Gebruik niet de gebruikersnaam "admin" (nee, ook geen "nimda"). Gebruik een SSL-certificaat. Installeer een firewall voor het beheergedeelte van je website. Log nooit in op je website op een openbaar netwerk (of gratis wifi). En zet je website in het volle licht, oftewel: hou 'm in de gaten.
Ben je niet technisch, of heb je gewoon geen tijd of geen zin om continu met de beveiliging van je website bezig te zijn? Besteed het uit!
Is jouw Joomla-site gehackt en weet je niet wat je moet doen? Neem dan contact op met Hilda Abbing, wie weet kunnen wij je helpen.
Meld je aan voor de WebLab42 nieuwsbrief en ontvang regelmatig nieuws, tips en interessante informatie in je mailbox! Je kunt je op elk moment weer afmelden of je gegevens laten verwijderen.
WebLab42
Infanteriestraat 29
6822 NH Arnhem
KvK: 70477973
Telefoon: 026-7370231
WebLab42 is officieel gecertificeerd Joomla Administrator (lees hier wat dat betekent)
WebLab42 staat vermeld in de Joomla! Resources Directory