Geef hackers geen kans, beveilig je webserver
Een server wat via het internet bereikbaar is, is een potentieel doelwit voor hackers. Maar als je een dienst wilt aanbieden waarbij het noodzakelijk is dat je server publiekelijk bereikbaar is, dan kan je niet anders dan dat risico aanvaarden. Wel is het natuurlijk noodzaak om je server zo goed als mogelijk te beveiligen.
De ultieme handleiding om je server “hacker proof” te maken? Sorry, die bestaat niet. Ieder type server vraagt een andere manier van aanpak. Aangezien wij ons bij Nexxwave specialiseren in webservers, gaan we in dit blogartikel in op een van de methoden om je webserver te beveiligen.
De basisbeveiliging
De basisaanbevelingen om je webserver te beveiligen, blijven gelden. We sommen er enkele op:
- Activeer enkel de noodzakelijke services.
- Open in je firewall enkel de inkomende (en uitgaande!) poorten die je services nodig hebben en maak een onderscheid in het protocol (TCP, UDP, ICMP …).
- Beheer enkel jij of je team de server? Stel je firewall dan zo in dat enkel zij toegang krijgen tot het administrator gedeelte.
- Schakel SSH root login uit.
- Laat SSH toegang enkel toe vanaf bepaalde IP-adressen of netwerken.
- Beheer je je server via een webgebaseerd controlepaneel? Laat ook hier enkel toegang toe vanaf vertrouwde IP-adressen.
- Gebruik om via SSH in te loggen enkel SSH-keys en schakel toegang op basis van wachtwoorden uit.
- Gebruik sterke wachtwoorden voor je gebruikersaccounts en gebruik zoveel als mogelijk 2-stapsverificatie.
- Check regelmatig de logs van je server op verdachte inlog(pogingen) en activiteiten.
- Installeer automatisch security patches en installeer “gewone” software updates op een regelmatig tijdstip.
- Maak gebruik van toepassingen zoals rkhunter en Fail2Ban.
- Gaat het over een fysieke machine met lights-out management ondersteuning zoals IPMI? Super handig, maar laat ook hier weer enkel vertrouwde IP’s toe. Best practice: maak gebruik van een afzonderlijk management netwerk.
- Niet technisch, maar wel belangrijk: zorg dat iedereen in je team zich bewust is van de noodzaak van security.
Geavanceerde beveiliging voor je webserver
Bovenstaande basisregels zijn noodzakelijk, maar onvoldoende om je webserver te beveiligen tegen ongewenst bezoek. Zo kan een bot je websites (of die van je klanten) scannen op verouderde code.
WordPress als voorbeeld
Host je bijvoorbeeld websites die gebruik maken van WordPress, dan kan zo een bot automatisch scannen welke versies van WordPress er in gebruik zijn. Merkt de bot een verouderde WordPress versie op? Dan kan hij zien welke versie dat precies is en (ook weer automatisch) op zoek gaan naar een publiekelijk gekende zwakheid in die versie en zich zo een weg naar binnen banen. Hoewel het natuurlijk nodig is om je WordPress sites up-to-date te houden, is het ook noodzaak om deze bots geen kans te geven om te scannen.
Bots kunnen zich ook voordoen als ‘gewone bezoeker’ en pogingen blijven uitvoeren om in het admin gedeelte van je WordPress in te loggen. Hierbij is het noodzakelijk dat deze kwaadwillige bezoeker herkent en geblokkeerd wordt.
Is je WordPress (of eender welke site) toch geïnfecteerd geraakt met malware (bv. doordat een gebruikersaccount op je website zijn wachtwoord gelekt is), dan is het noodzakelijk om deze malware zo spoedig mogelijk te detecteren en te verwijderen.
All-in-one security met Imunify360
Bij Nexxwave maken we gebruik van Imunify360 om onze webservers te beveiligen. Alle websites die op ons webhosting platform gehost worden, worden sowieso beveiligd met Imunify360. Host jij je eigen webserver in onze cloud of in je eigen datacenter? Ook dan kan je gebruik maken van Imunify360.
Wat doet Imunify360?
Imunify360 vervult meerdere taken:
- Web Application Firewall (WAF): geeft iedere bezoeker een ‘score’ en maakt zo een onderscheid tussen bots en mensen.
- Intrusion Detection / Protection System (IDS/IPS): vermindert de hoeveelheid hacks en het uitvoeren van code op afstand (remote exploits).
- Malware detectie: blokkeert het uploaden van malware en scant dagelijks op zoek naar malware.
- Pro-actieve beveiliging: PHP malware wat geüpload wordt, kan gedetecteerd worden.
- Patch management: beveiligt verouderde PHP-versies, ook als die door de PHP-ontwikkelaars niet meer ondersteund worden.
Wil je meer informatie over Imunify360? Neem dan zeker even een kijkje op onze pagina: https://www.nexxwave.be/server-security/imunify360.
Heb je hulp nodig bij het beveiligen van je webserver? Neem dan gerust even contact met ons op.