Hoe beveilig je je webshop? 4 basisprincipes voor online security

door -

hoe beveilig je je webshop security

Webshop starten, maar niet zeker waar je op moet letten wat security betreft? Dit zijn de 4 basisprincipes waarmee je een veilige webshop opzet.

Security krijgt niet altijd de aandacht die het nodig heeft. Zo wijst recent onderzoek van SafeShops uit dat het veiligheidsbeleid van Belgische webshops te wensen overlaat: onder andere op de versleuteling van de online communicatie en de beveiliging tegen phishing presteerden de webwinkeliers ondermaats, iets dat in het bijzonder bij starters en kleine webshops naar boven kwam.

Ook zij kunnen echter een tandje bijsteken. Hieronder vind je de basisprincipes voor het starten van een veilige webshop: met onderstaande maatregelen ben je nog niet gegarandeerd beschermd tegen alle gevaren op het internet, maar heb je wel de belangrijkste verdediging mee om je webshop een goede start te geven op het gebied van online security.

Houd je e-commerceplatform up-to-date

De keuze van een e-commerceplatform is niet simpel. Er is meer keuze dan ooit, én meer criteria om te vergelijken. Wil je een kleine webshop beginnen met slechts enkele producten of plan je een uitgebreid online platform die je bestaande winkel moet ondersteunen? Je keuze voor een e-commerceplatform zal er wellicht door beïnvloed worden. Wanneer we kijken naar security, is de keuze tussen een opensource of fully-hosted platform belangrijk. Bij opensource versies van e-commerceplatformen, zoals de gratis versie van Magento of Woocommerce, sta je helemaal zelf in voor het onderhoud van je platform. Dat betekent dat jij verantwoordelijk bent voor het uitvoeren van mogelijke updates of patches. Waarom is dat belangrijk? Wel, ten eerste betekent dat dat je een mogelijk doelwit wordt voor hackers.

Cybercriminelen zijn namelijk steeds op zoek naar zwakheden in de code van de grootste e-commerceplatformen. Wanneer zo’n lek ontdekt wordt, wordt daarna een ‘patch’ wordt uitgebracht: een update die er specifiek op gericht is om het lek te dichten. Het probleem zit ‘em daar in. De patch wordt beschikbaar gemaakt voor elke platformeigenaar, maar wordt meestal niet automatisch uitgevoerd, vooral niet bij opensourceplatformen. Het is uiteindelijk de verantwoordelijkheid van de webwinkelier om ervoor te zorgen dat elke update zo snel mogelijk wordt geïmplementeerd. Zo niet, dan is het platform kwetsbaar voor hacks. Veel hackers zetten net in op die terughoudendheid om een patch te installeren, waardoor ze actief op zoek gaan naar zulke slachtoffers. En die zijn er jammer genoeg met hopen.

Zorg voor een groen slotje

Heb je al een webshop, dan is de kans groot dat een deel van de pagina’s al zijn uitgerust met een HTTPS-verbinding. Dat herken je aan het groene slotje in de adresbalk: de gegevens op de pagina worden dan via een beveiligde verbinding verstuurd, buiten het bereik van cybercriminelen.

HTTPS zorgt er namelijk voor dat de communicatie tussen de browser en de website geëncrypteerd is: de gegevens zijn versleuteld zodat ze niet leesbaar zijn, zelfs wanneer ze onderschept worden. Voor die encryptie worden één van twee mogelijke certificaten gebruikt: SSL of TSL. Die certificaten laten aan je browser weten dat de identiteit van je website klopt, en bevatten de sleutel die nodig is om de gegevens te encrypteren.

HTTPS is één van de fundamentele beveiligingen voor elke webshop. Lange tijd werd HTTPS vooral aangeraden voor gevoelige pagina’s, zoals inlogportalen of betaalpagina’s, maar meer en meer schakelen webwinkeliers over naar een website die volledig op HTTPS draait. Dat heeft namelijk ook andere voordelen. Zo lieten browsers Google Chrome en Mozilla Firefox al weten dat websites zonder HTTPS lager zullen eindigen in de lijst met zoekresultaten en worden zulke pagina’s aangeduid met ‘niet veilig’ of een dergelijke waarschuwing. Nefast voor het vertrouwen van een bezoeker op je webshop.

Maak een back-up van je website

Het kan altijd dat je het slachtoffer wordt van dataverlies: zij het door een hack, een malware-infectie, een hardware-fout of gewoon een menselijke vergissing. Het kan zelfs dat je hele website of de meest recente versie van je website verloren gaat. Als je dan ook geen back-up hebt van je website, dan zit je pas echt in de problemen. Zorg er daarom voor dat je altijd een versie van je website op een veilige plaats bewaart. In tegenstelling tot wat velen vermoeden, is het voorzien van back-ups namelijk geen taak van je webhoster, tenzij dat specifiek in je overeenkomst staat.

Een back-up maken van je website zorgt ervoor dat een versie van je databank en bestanden beschikbaar is, die je kan terugzetten wanneer je originele website het laat afweten. Je kan handmatig een back-up maken, met behulp van FTP of daarvoor ontwikkelde software. Vaak moet je dan zelf wel wat technische kennis aan de dag leggen en moet je de discipline hebben om regelmatig een back-up te blijven nemen. Er zijn echter ook geautomatiseerde oplossingen die de taak van je overnemen, zodat jij er niet meer aan moet denken. Voor WordPress bestaan er bijvoorbeeld een scala aan plug-ins die automatisch back-ups nemen.

Houd zo weinig mogelijk data bij

Wat dataverlies betreft, moet je het jezelf ook niet te moeilijk maken. In meeste gevallen is het onnodig en gevaarlijk om te veel data bij te houden, vooral als het gaat om klanten- of betaalgegevens. Voor je marketingcampagnes is het nuttig om informatie te bewaren – namen, e-mailadressen, telefoonnummers – maar des te meer je bijhoudt, des te meer je het risico loopt om véél data kwijt te raken. Zeker in het licht van de GDPR, de vernieuwde Europese privacywetgeving die in mei 2018 van kracht wordt, houd je beter alleen het minimum aan essentiële gegevens bij.

Als je kredietkaartgegevens bewaart, verwerkt of verstuurt, wordt bovendien ook verwacht dat je PCI DSS-compliant bent. PCI DSS (Payment Card Industry Data Security Standard) is een beveiligingsstandaard die strenge voorwaarden oplegt aan online spelers die kredietkaartgegevens bewaren, verwerken of versturen. Voor kleinere webshops is het daarom makkelijker om betalingen door te sturen naar een payment gateway provider, zoals PayPal of Stripe. De betaling gebeurt dan niet op de website van de handelaar, waardoor het veel makkelijker wordt om compliant te zijn. En je niet zoveel data moet verwerken.

 

Met deze beginselen leg je de basis voor een veilige webshop. Klaar ben je echter nog lang niet: online security is een continue bezigheid. Zeker wanneer je aan de slag gaat met klantengegevens en betalingen is het belangrijk om nooit op je lauweren te blijven rusten.

Server hosting door Combell Combell