10 vragen die je moet stellen aan de ontwikkelaar van uw website

Terug naar de weblog
sécurité site e-commerce

Staat u op het punt om een e-commerce site te bestellen die gekoppeld is aan uw ERP?

Sommige vaardigheden kunnen niet geïmproviseerd worden en het is nodig om de betrouwbaarheid van uw aanbieders te waarborgen, bijvoorbeeld op het gebied van beveiliging.

Een e-commerce site die gekoppeld is aan uw ERP is eigenlijk … een site die gekoppeld is aan het hart van uw bedrijf. Hij staat in contact met uw database en moet beschermd worden tegen diefstal, wijzigingen of vernietiging van de inhoud ervan.

Wees dus veel meer attent dan voor een eenvoudige showcase site! Volgende vragen zijn belangrijk om te stellen aan de ontwikkelaar van uw e-commerce site.

Zal mijn website bereikbaar zijn via HTTPS?

Een HTTPS-site (gesymboliseerd door het groene hangslotje naast de URL) betekent dat het adres van de website gecertificeerd is en dat de informatie die wordt uitgewisseld tussen de gebruiker en de server versleuteld is. Iedereen buiten de communicatie kan de gegevens niet onderscheppen of decoderen.

Deze beveiliging verzekert uw internetgebruikers die hun gegevens leveren (woonadres, email, telefoon,…) en die ook online betalen.
Google is al enige tijd bezig met beveiligde sites actief te steunen en sites die deze beveiliging niet hebben te depreciëren.
Een goed punt om uw klant gerust te stellen!

Meer weten

 Zal u een Open Source-platform gebruiken om mijn website te maken (Prestashop, Magento,…) Zal u plugins toevoegen? Weet je waar deze componenten vandaan komen? 

Deze open source platformen hebben soms fouten. Sommige van deze fouten worden gecontroleerd en hersteld, maar hoe zit het met andere entries voor hackers?
Is uw webontwikkelaar ervan overtuigd dat het geïnstalleerde standaardpakket veilig is? 

Het is ook mogelijk om plugins toe te voegen aan uw website: een betaalmethode, een leverwijze, een “Gebruiker”-module, enz… QWie heeft deze extensies geprogrammeerd? Moeten we deze buitenlandse code toestaan? Sommige kwaadaardige codes brengen u virussen, data-opnames, trojans,…  

Een gouden regel: ken uw ontwikkelaar, zijn intenties en competenties.

 Is de infrastructuur waarop mijn site gehost wordt voldoende beveiligt tegen enige vorm van bedreiging?  

Uw website zal ter beschikking gesteld worden op een server. De kwaliteit ervan moet optimaal zijn. 

  • Is deze beschermd met een competente antivirus? Word de antivirus dagelijks geüpdatet?
  • Wordt de server regelmatig voorzien van de meest recente updates? 
  • Is hij beveiligd met een firewall?
  • Is de infrastructuur in staat om massale en gewelddadige aanvallen af te slaan? 
  • Staat mijn site in een aparte ruimte op de server die afgescheiden is van andere websites? 

Allemaal vragen waarop het antwoord JA moet zijn. Indien de server niet goed beveiligd is, wordt uw site beschadigd door aanvallen op de server in het algemeen of op andere sites die erop zijn geplaatst.

 Waar en in welke vorm slaat u de vertrouwelijke gegevens van internetgebruikers op (wachtwoorden en bankkaarten,…)? 

Geen enkel wachtwoord mag zichtbaar zijn in de database (zelfs geen gecodeerde wachtwoorden). Het is niet nodig om de duivel uit te… Een goede methode is dat van “hashing”: voeg aan het wachtwoord een vertrouwelijke sleutel toe die specifiek is aan de website en vervolgens neem je er een vingerafdruk van.
Indien er een diefstal optreedt, is het onmogelijk om het wachtwoord te verkrijgen: het kan niet gedecodeerd worden, het zal een onjuiste afdruk blijven.

Bewaar zelfs geen bankgegevens in uw gegevensdatabank. Het online betalen moet toevertrouwd worden aan een gespecialiseerde operator (Ingenico, SaferPay, Paypal). Delegeer deze zware verantwoordelijkheid.

Wat bevatten uw cookies? 

Cookies, wat zijn dat? Dit zijn kleine bestanden die opgeslagen worden in de browser van de gebruiker, waardoor het gemakkelijker wordt om de site te bezoeken. Ze onthouden bijvoorbeeld de gekozen taal, de sorteerorde in de zoekopdracht,… Vaak worden ze ook gebruikt om de statistieken van de website vast te leggen.
Maar geen strategisch element mag in een cookie bewaard worden, omdat ze gestolen kunnen worden! (Geen naam, contactgegevens of wachtwoord)

 Is de site beveiligd tegen SQL-injecties? 

SQL injecties, wat is dat? Dit bestaat uit het gebruik van ingave-elementen op een website (bijvoorbeeld een registratieformulier, een login,…) om informatie door te sturen die een SQL-query opbouwt (actie op de database).

Uw websiteontwerper moet een programmeringsstijl hanteren die dit type injectie voorkomt.

 Is de website beveiligd tegen JavaScript injecties? 

Javascript injecties, wat is dat? Dit omvat het invoeren van JavaScript code in een veld op een website (bijvoorbeeld: een veld om een commentaar op te slaan). Deze code wordt uitgevoerd in de browser van de gebruiker bij het herladen van de pagina.

Opnieuw moet de programmeur werken om deze injecties op invoergebieden te vermijden.

 Is de website beveiligd tegen andere soorten bedreigingen: clickjacking, hijacked via Iframe,…? 

De lijst met mogelijke aanvallen is lang. Enkele voorbeelden: 

  • Diversificatie van Iframe: Een andere website weergeven op de pagina van een andere site door middel van een Iframe. De gebruiker merkt niet op dat hij de gegevens invult in een andere site, omdat deze site weergegeven wordt over de site waarop de gebruiker denkt dat hij is.
  • Clickjacking: Hierbij worden floating elementen toegevoegd aan de pagina, zoals bijvoorbeeld een formulier boven een formulier. De gebruiker denkt dat hij het formulier invult op de site die hij raadpleegt, maar de informatie wordt opgevangen door de toegevoegde elementen.
  • Faille LFI (Local File Injection): Bij een slecht ontworpen pagina kan men navigeren naar mappen die gebruikt worden door de website, zo kan men dus ook toegang krijgen tot niet-publieke bestanden.
  • CSFR: Verberg een URL achter een link die het toelaat om elementen te verwijderen. De gebruiker klikt in goede trouw op de link en lanceert onbewust de verwijderingen (pagina’s, producten te koop,…)
 Wanneer zal u deze veiligheidsbarrières installeren? 

Het antwoord moet zijn: van bij het begin! Van zodra de eerste steen van de website gelegd is, of de eerste regel code geschreven is, moet de beveiliging op punt staan.
Sta uw provider niet toe om te antwoorden “Dat doen we later wel, er is nog tijd.” Neen!
Allereerst omdat hij op een veilige manier moet programmeren. Het is een filosofie die je vanaf het begin moet aannemen. Het zou ondenkbaar zijn om alle code te veranderen van zodra de webfunctionaliteiten klaar zijn.
Maar ook omdat je website van bij het begin verbonden is met je database, daarom moet je dus gevoelige elementen beschermen van bij het begin.

 Neemt u de tijd om na te denken over de beveiliging van mijn site, zelfs in de toekomst? 

Nieuwe aanvalsmethodes worden regelmatig gecreëerd, nieuwe fouten worden regelmatig blootgelegd.
Vind dus een provider die op de hoogte is en blijft van het laatste nieuwe en oplossingen, maar die ook de beveiliging van uw site up-to-date houdt. Hij moet een waakzaam oog hebben.

U heeft het begrepen: de beveiliging van uw website is essentieel om het hart van uw bedrijf te beschermen.

Lijken deze 10 vragen u te ingewikkeld of te technisch? Stuur ze gerust door naar uw ontwikkelaar. Hij moet deze vragen kunnen beantwoorden.


En hoe zit het met Mercator e-commerce sites?

Op deze 10 vragen antwoorden wij "Ja, wij zijn op de hoogte van deze bedreigingen, we hebben de nodige beveiligingen geïmplementeerd en een betrouwbare infrastructuur geïnstalleerd om de beveiliging van elk van de websites die we bouwen te waarborgen."

De kwestie van veiligheid bij Mercator omvat de vele uren aan documentatie, analyse, onderzoek, testen en implementaties van oplossingen.
Wij blijven steeds up-to-date rond dit onderwerp omdat wij willen dat onze klanten hun bedrijf in alle sereniteit kunnen beheren.

Een document dat alle acties van ons team in termen van veiligheid uitlegt, is beschikbaar voor onze klanten.

sécurité mercator