Beveiliging is geen product dat je één keer koopt en vergeet. Het is een kleine set gewoonten die consistent worden toegepast. Het goede nieuws: de meeste bedrijfswebsites en webapplicaties kunnen het grootste deel van de realistische risico's afdekken met een handvol basispraktijken.
HTTPS en certificaatafhandeling
Elke pagina moet over HTTPS laden. Dit is geen luxe meer, browsers, gebruikers en zoekmachines behandelen HTTP allemaal als kapot. Stuur HTTP door naar HTTPS, vernieuw certificaten automatisch (de meeste hosts doen dit gratis) en controleer of mixed-content-waarschuwingen weg zijn.
Authenticatie goed gedaan
- Gebruik lange wachtwoorden of wachtwoordzinnen, niet complexe korte.
- Schakel tweefactorauthenticatie (2FA) in voor alles wat ertoe doet, adminpanelen, hostingaccounts, e-mail, betaaltools.
- Gebruik een wachtwoordmanager in het team, geen gedeelde spreadsheet.
- Verwijder accounts wanneer mensen vertrekken. "Slapende" accounts zijn een veelvoorkomend toegangspunt.
Admintoegang
Admin-URL's mogen niet van buitenaf te raden zijn. Beperk inlogpogingen, log mislukte pogingen en overweeg een extra laag (IP-allowlist of VPN) voor zeer gevoelige panelen.
Software-updates
De meeste publieke kwetsbaarheden worden snel na openbaarmaking verholpen; het werkelijke risico is het draaien van software die maandenlang niet is bijgewerkt. Houd het framework, CMS, plugins, runtime en bibliotheken actueel. Plan routinematige updates in plaats van ze alleen na een incident te doen.
Veilige afhandeling van gebruikersinvoer
- Valideer op de server, niet alleen in de browser, alles wat van de client komt kan worden gewijzigd.
- Gebruik geparametriseerde queries of een goede ORM om SQL-injectie te voorkomen.
- Escape uitvoer correct om cross-site scripting (XSS) te voorkomen.
- Beperk welke bestanden gebruikers kunnen uploaden, en waar ze terechtkomen.
- Beperk formulieren en endpoints waar aanvallers op mikken (inloggen, aanmelden, contact).
Geheimen en configuratie
- Codeer geen wachtwoorden, API-sleutels of tokens hard in de broncode.
- Houd ze in omgevingsvariabelen of een secret manager, niet vastgelegd in de repository.
- Roteer geheimen wanneer iemand vertrekt, of na elk incident.
Back-ups en herstel
Een back-up is geen back-up totdat die is hersteld. Regelmatige, geautomatiseerde back-ups zijn essentieel, maar ook een geteste procedure om ze te herstellen. Ransomware en per ongeluk verwijderen overkomt uiteindelijk iedereen.
Monitoring en logs
Je kunt niet reageren op wat je niet ziet. Houd minstens serverlogs bij, leg applicatiefouten vast en stel waarschuwingen in op ongebruikelijke pieken van 401/403/500-responses. Zo kom je vroeg achter een aanval, in plaats van achteraf.
Privacy en compliance
- Verzamel alleen gegevens die je daadwerkelijk nodig hebt.
- Heb een duidelijk privacybeleid en cookietoestemming die de realiteit weerspiegelt, geen sjabloon dat ergens vandaan is gekopieerd.
- Begrijp welke gegevens gereguleerd zijn (betaling, gezondheid, persoonsgegevens onder de AVG) en behandel ze dienovereenkomstig.
Veelgemaakte fouten
- Beveiligingsaudits die bij het rapport stoppen. Bevindingen moeten worden gerepareerd en geverifieerd, niet alleen gearchiveerd.
- "We zijn te klein om een doelwit te zijn". De meeste aanvallen zijn geautomatiseerd en zoeken naar elk ongepatcht systeem.
- Wachtwoorden als het hele verhaal behandelen. 2FA, updates, back-ups en monitoring doen er meer toe dan regels voor wachtwoordcomplexiteit.
- Eén persoon die alle sleutels in handen heeft. Kritieke toegang zou een back-upeigenaar moeten hebben, duidelijk gedocumenteerd.

