Afgelopen week kregen we een vraag: “Wat doen jullie aan security en hoe zorgen jullie dat mijn websites veilig blijven draaien?”
Wel, voor Kyzoe Hosting & Design vormt veiligheid de absolute topprioriteit. Dit doen we allereerst door het aantal poorten waarop mensen kunnen verbinden met onze servers te beperken. Enkel poorten die er toe doen staan open om connecties te ontvangen. Elke request tot verbinden controleren we vervolgens zeer zorgvuldig.
Dat controleren doen we met behulp van een monitoringprogramma. Om te kunnen inloggen op onze servers heb je natuurlijk een geldige gebruikersnaam en wachtwoord nodig. Heb je die niet en ga je in het wilde weg wat proberen, dan zal dat resulteren in een ban op onze servers waarna je niet meer kan inloggen. Zo blokkeren we meer dan 10.000 IP addressen per dag(!) op onze servers. IP adressen van mensen die er niks te zoeken hebben maken geen schijn van kans.
Dat betekent ook dat als je zelf met een verkeerd IP adres inlogt, en je dat te vaak doet, je op onze zwarte lijst komt te staan. Dat kan gebeuren als je een verkeerde login gebruikt op de webmail, je inkomende of uitgaande mailservers, je WordPress login of op je DirectAdmin login. We tellen al die logins bij elkaar op en indien je over de limiet gaat word je geblokkeerd.
Een andere maatregel die we nemen is dat we elke nacht alle servers controleren op malware. Als we malware vinden, dan sturen we je automatisch een e-mail om je hiervan te verwittigen. In de mail staat duidelijk hoe je de malware kan verwijderen.
Naast deze dingen begint de security eigenlijk al eerder, bij de basis. Zo gebruiken gebruiken we een Linux versie die speciaal geschreven is voor hosting providers, CloudLinux. Deze Linux omgeving zorgt ervoor dat alle users in hun eigen ‘kooi’ draaien. Het voordeel hiervan is dat als één user gehacked is, dit zich niet verder kan verspreiden over andere gebruikers.
Ook onze admins volgen strikte security regels:
Inloggen op het beheerdersplatform voor onze servers is enkel mogelijk via één bepaald IP adres, en met een SSH key waardoor enkel de bezitter van deze key zich kan aanmelden. Onze admins hebben verplicht allemaal antivirussoftware draaien op hun laptops en PC’s en daarnaast veranderen we onze wachtwoorden regelmatig.
Maar poort x staat open.
Om bepaalde functionaliteit hebben draaien op een server verschillende diensten, deze draaien allemaal op een bepaalde poort, zo kan je enkel email gebruiken als je de juiste poorten gebruikt. Achter al deze poorten die openstaan draaien monitoring scripts en hebben we regels op gesteld zodat enkel de mensen die ze moeten gebruiken ook kunnen gebruiken. Een mooi voorbeeld is MySQL op poort 3306 dat is een poort die maar beperkt gebruikt wordt buiten de server, dus we hebben dat net als poort 22 SSH zo ingesteld dat enkel gekende IP adressen (die wij encrypted bijhouden) er verbinding mee kunnen maken. Daarnaast draait er ook weer het monitoring script te vaak verkeerd wachtwoord geprobeerd… dan mag je niet meer binnen. Bepaalde poorten moeten openstaan, om de servers te laten functioneren, maar we controleren al het verkeer zoals hierboven uit gelegd.
De server software
Elke dag, worden er wel updates uitgebracht voor de software die we gebruiken op onze servers, en ons serverteam houdt dat dan ook zeer goed in de gaten, wat belangrijk is om direct te updaten en wat zogeheten minor updates zijn, versie updates worden eerst getest op een test omgeving en daarna uitgerold op de server. Is er een zeer belangrijke (lees kritische update) dan zal het serverteam eerst bekijken wat de impact is en deze zo snel mogelijk meestal binnen de 12 uur inplannen om uit te rollen. Maar nooit voordat er een volledige backup is gemaakt van de server(s) en nooit voordat bekend is wat de impact is.
Ons server team wordt ondersteund door Cloudlinux, Litespeed, DirectAdmin, Cyberpanel. Ze gaan ook regelmatig op bijscholingscurcus, en kan een beroep doe op de expertise in cybersecurity van o.a: Fox IT.
E-mail security
Om onze mailservers te beschermen tegen spam maken we gebruik van spamfilters waarbij we spammers centraal registreren en onze ervaringen met meer dan 3.000 andere hosters uitwisselen. Maar we gebruiken ook filters op bepaalde woorden en eigenschappen van de mail. Om te voorkomen dat onze servers als spamserver gebruikt worden is elke gebruiker gelimiteerd in het versturen van de hoeveelheid e-mails per account. Bij ons staat deze limiet op 500.
Naast al deze maatregelen is er ook heel veel dat jezelf kunt – en eigenlijk moet ik schrijven MOET – doen:
- Gebruik altijd ene SSL certificaat (zie hieronder)
- Gebruik veilige wachtwoorden
- Update elke keer je thema’s en plugins
- Zet XML-RPC (in de php settings) enkel aan als het nodig is
- Gebruik de laatste php versies
- Schrijf je in op nieuwsbrieven voor security nieuws over je plugins
- Volg onze blog.
SSL certificaten:
Waren SSL certificaten vroeger een uitzondering, tegenwoordig is het een verplichting; Niet alleen Google straft websites zonder SSL certificaat maar in het algemeen is het not done om geen SSL certificaat te hebben op je website. Gelukkig is het super simpel om een Gratis SSL certificaat aan te vragen voor email, website en FTP.
Kyzoe Hosting en Design heeft hiervoor een samenwerking met Let’s Encrypt die de SSL certificaten uitdeelt. Een certificaat van Let’s Encrypt wordt automatisch uitgegeven binnen de 6 uur nadat de domeinnaam geactiveerd is op de server, en is geldig voor 90 dagen, Wij verlengen echter automatisch elke 60 dagen je certificaat. Wil je al gelijk aan de slag met je SSL certificaat dan kan je onder Account Manager in Directadmin het linkje vinden naar SSL certificates Daar kies je de eerste tab (Free & automatic certificate from Let’s Encrypt) in het veld er onder selecteer je alle entries bij Let’s Encrypt Certificate Entries en als laatste vink je ook het vakje aan bij Force SSL with https redirect en als laatste klik je op Save. Na ongeveer een vijf minuten is je certificaat klaar.
Het vinkje bij Force SSL with https redirect zorgt er voor dat de plek voor het uploaden van je bestande hetzelfde blijft public_html.
P.s. Op de hoogte blijven van alle artikelen, updates, tips en trucs die op ons blog verschijnen? Volg ons via Facebook, Instagram, RSS en e-mail!