Beveiliging
SSL-certificaten, kwetsbare libraries, beveiligingsheaders en je bezoekers beschermen.
Websitebeveiliging is zowel een technische noodzaak als een wettelijke verplichting. Onder AVG Artikel 32 moeten bedrijven 'passende technische maatregelen' implementeren om persoonsgegevens te beschermen. Een verlopen SSL-certificaat, verouderde WordPress-plugins of ontbrekende beveiligingsheaders kunnen de gegevens van je bezoekers blootstellen — en je bedrijf aan boetes. Datalekken moeten binnen 72 uur worden gemeld bij je toezichthouder, en betrokkenen moeten worden geïnformeerd als er een hoog risico is voor hun rechten.
Belangrijke feiten
- •De GBA beboette een bedrijf met €400.000 voor ontoereikende beveiligingsmaatregelen na een datalek
- •46% van alle websites heeft minimaal één ernstige kwetsbaarheid (Acunetix 2024)
- •WordPress-plugins zijn verantwoordelijk voor 97% van WordPress-beveiligingskwetsbaarheden
- •Ontbrekende beveiligingsheaders zoals Content-Security-Policy maken sites kwetsbaar voor XSS-aanvallen
- •AVG Artikel 32 vereist versleuteling van persoonsgegevens tijdens transport — SSL/TLS is dus niet optioneel
Wat wij controleren
- ✓Geldigheid en configuratie van SSL/TLS-certificaat
- ✓Beveiligingsheaders (CSP, HSTS, X-Frame-Options, etc.)
- ✓Bekende kwetsbare JavaScript-libraries
- ✓Mixed content (HTTP-resources op HTTPS-pagina's)
- ✓SPF-, DKIM- en DMARC-e-mailauthenticatierecords
Websitebeveiliging: goede vs. slechte voorbeelden
Verlopen of ontbrekend SSL-certificaat
Bezoekers zien een "Niet beveiligd"-waarschuwing in hun browser omdat het SSL-certificaat is verlopen of nooit is geïnstalleerd. AVG Artikel 32 vereist versleuteling van persoonsgegevens tijdens transport. Zonder SSL/TLS worden formulierinzendingen en inloggegevens als platte tekst verzonden.
Geldig SSL met automatische verlenging
Een geldig SSL/TLS-certificaat (bijv. Let's Encrypt) met automatische verlenging ingesteld. De browser toont een slotje. De HSTS-header zorgt ervoor dat browsers altijd via HTTPS verbinden, zelfs als iemand http:// typt.
Verouderde WordPress met bekende kwetsbaarheden
WordPress 5.x draaien of plugins met bekende beveiligingslekken waarvoor CVE-meldingen zijn gepubliceerd. Aanvallers scannen hier automatisch op. Een uitgebuite kwetsbaarheid die klantgegevens lekt, leidt tot een verplichte melding bij de GBA binnen 72 uur.
Regelmatige updates en patchbeheer
WordPress-core, thema's en plugins binnen 48 uur na beveiligingsreleases bijgewerkt. Automatische updates ingeschakeld voor kleine versies. Ongebruikte plugins volledig verwijderd in plaats van alleen gedeactiveerd.
Geen beveiligingsheaders geconfigureerd
Ontbrekende Content-Security-Policy, X-Frame-Options en HSTS-headers. Zonder deze is je site kwetsbaar voor cross-site scripting (XSS), clickjacking en protocol-downgrade-aanvallen. De meeste hostingproviders stellen deze niet standaard in.
Beveiligingsheaders correct geconfigureerd
Content-Security-Policy blokkeert inline scripts en beperkt resource-origins. X-Frame-Options voorkomt clickjacking. HSTS met een lange max-age en includeSubDomains. Referrer-Policy ingesteld op strict-origin-when-cross-origin.
Mixed content op HTTPS-pagina's
Een HTTPS-website die afbeeldingen, scripts of stylesheets laadt via HTTP. Browsers markeren dit als onveilig en kunnen de resources volledig blokkeren. Het verbreekt ook de versleutelingsketen voor alle gegevens die op de pagina worden verzonden.
Alle resources geladen via HTTPS
Elke afbeelding, elk script, stylesheet en lettertype geladen via HTTPS. Geen mixed content-waarschuwingen. Externe resources gecontroleerd op HTTPS-ondersteuning voordat ze worden ingesloten. Een Content-Security-Policy upgrade-insecure-requests directive als terugvaloptie.
Verlopen of ontbrekend SSL-certificaat
Bezoekers zien een "Niet beveiligd"-waarschuwing in hun browser omdat het SSL-certificaat is verlopen of nooit is geïnstalleerd. AVG Artikel 32 vereist versleuteling van persoonsgegevens tijdens transport. Zonder SSL/TLS worden formulierinzendingen en inloggegevens als platte tekst verzonden.
Verouderde WordPress met bekende kwetsbaarheden
WordPress 5.x draaien of plugins met bekende beveiligingslekken waarvoor CVE-meldingen zijn gepubliceerd. Aanvallers scannen hier automatisch op. Een uitgebuite kwetsbaarheid die klantgegevens lekt, leidt tot een verplichte melding bij de GBA binnen 72 uur.
Geen beveiligingsheaders geconfigureerd
Ontbrekende Content-Security-Policy, X-Frame-Options en HSTS-headers. Zonder deze is je site kwetsbaar voor cross-site scripting (XSS), clickjacking en protocol-downgrade-aanvallen. De meeste hostingproviders stellen deze niet standaard in.
Mixed content op HTTPS-pagina's
Een HTTPS-website die afbeeldingen, scripts of stylesheets laadt via HTTP. Browsers markeren dit als onveilig en kunnen de resources volledig blokkeren. Het verbreekt ook de versleutelingsketen voor alle gegevens die op de pagina worden verzonden.
Geldig SSL met automatische verlenging
Een geldig SSL/TLS-certificaat (bijv. Let's Encrypt) met automatische verlenging ingesteld. De browser toont een slotje. De HSTS-header zorgt ervoor dat browsers altijd via HTTPS verbinden, zelfs als iemand http:// typt.
Regelmatige updates en patchbeheer
WordPress-core, thema's en plugins binnen 48 uur na beveiligingsreleases bijgewerkt. Automatische updates ingeschakeld voor kleine versies. Ongebruikte plugins volledig verwijderd in plaats van alleen gedeactiveerd.
Beveiligingsheaders correct geconfigureerd
Content-Security-Policy blokkeert inline scripts en beperkt resource-origins. X-Frame-Options voorkomt clickjacking. HSTS met een lange max-age en includeSubDomains. Referrer-Policy ingesteld op strict-origin-when-cross-origin.
Alle resources geladen via HTTPS
Elke afbeelding, elk script, stylesheet en lettertype geladen via HTTPS. Geen mixed content-waarschuwingen. Externe resources gecontroleerd op HTTPS-ondersteuning voordat ze worden ingesloten. Een Content-Security-Policy upgrade-insecure-requests directive als terugvaloptie.
Handleidingen komen binnenkort.
Check je website nu
Scan je website op Beveiliging-problemen en 30+ andere checks.
Scan je website gratis