Https(ssl) en overige beveiliging website
Goede beveiliging van een website is uiteraard cruciaal. Dit zowel voor jezelf als voor de gebruikers van de site. Graag geef ik een aantal tips over de beveiliging van jouw website. Neem contact met mij op om te kijken hoe we jouw website beter kunnen beveiligen of voor het uitvoeren van een security scan.
Het meest cruciale is het hebben van een SSL certificaat. Door middel van dit certificaat is de informatie die verstuurd is via de site versleuteld. Bezoekers zien een slotje en het adres van de site begint met https. Mocht iemand bij het versturen van gegevens de informatie onderscheppen dan is dit niet leesbaar omdat het versleutelde informatie is. Daarnaast zijn er nog meer voordelen van het hebben van een SSL certificaat.
- Beter vindbaar in zoekmachines. Google geeft bijvoorbeeld voorrang aan beveiligde sites.
- Goede uitstraling, steeds meer mensen letten op het slotje en vertrouwen niet beveiligde websites minder. Ook geven steeds meer browsers standaard een melding als een website niet beveiligd is.
- Vanuit de AVG/GDPR moet je persoonsgegevens op een veilige manier verwerken. Een SSL certificaat helpt hierbij.
Naast het SSL certificaat zijn er nog een aantal andere beveiligingsmaatregelen en security headers die je in kunt stellen voor een goede beveiliging.
Content-Type-Options
Laat geen bestandsformaten of scripts toe op je site die daar niet thuis horen. Kwaadwillende kunnen bijvoorbeeld via manipulatie van een stukje css andere scripts laten uitvoeren. Dit moet voorkomen worden, alleen goedgekeurde content mag uitgevoerd worden.
X-XSS-Protection
Via een formulier op een website kan iemand een scripts proberen uit te voeren. Dit is te blokkeren.
X-Frame-Options
Als iemand je site kan inladen middels een iframe dan is deze ook aan te passen. De bezoeker zal het echter niet doorhebben. Je site moet daarom niet in te laden zijn via een iframe.
Referrer-Policy
Geef geen informatie door of link niet naar een niet beveiligde site. Alle content moet lopen via https
Strict-Transport-Security
Ook wanneer iemand zelf naar http gaat moet de site https afdwingen, http is dan niet mogelijk.
X-Content-Security-Policy
Geef een lijst op welke bronnen toegestaan zijn om in te laden op je website. Denk bijvoorbeeld aan Google Maps, Analytics, Vimeo en Facebook. Zelf geef je aan welke elementen op de site ingeladen mogen worden.
Feature-Policy
Welke hardware mag de site gebruiken. Indien de camera of locatie niet aangesproken hoeft te worden laat dit dan ook niet toe.
Heb je vragen over de beveiliging van je website? Bel me of laat een bericht achter en we kijken samen wat we moeten doen om jouw site optimaal te beschermen voor je klanten en jezelf.