Waarom websiteveiligheid voor ons geen feature is, maar een verantwoordelijkheid
Als full-service online marketing bureau bouwen we ook websites. Dat is in de basis wat we doen. Maar in de praktijk gaat ons werk verder dan dat. We bouwen digitale omgevingen waar bedrijven op vertrouwen: plekken waar klanten formulieren invullen, waar persoonsgegevens worden verwerkt en waar soms een belangrijk deel van de bedrijfsvoering op draait. Juist daarom kijken wij anders naar websiteveiligheid. Voor ons is veiligheid geen vinkje in een projectplan, maar een verantwoordelijkheid richting onze klanten.
Verantwoordelijkheid gaat verder dan alleen ‘onze code’
Die verantwoordelijkheid wordt soms heel concreet. Zo voerden we tijdens een routinecontrole van een website die wij beheren een technische check uit op de code en plugins die op de site draaiden. Dat doen we regelmatig, ook bij code die oorspronkelijk niet door ons is geschreven. Tijdens die controle ontdekte één van onze developers een kwetsbaarheid in een populaire recruitment-plugin voor WordPress. Op het eerste gezicht leek het om een klein stukje code te gaan, maar in theorie kon dit misbruikt worden om toegang te krijgen tot gegevens.
In zo’n situatie kun je denken: dit is niet onze plugin, dus dit ligt buiten onze verantwoordelijkheid. Wij kijken daar anders naar. Omdat het de website van onze klant raakt, voelen wij ons ook verantwoordelijk om het probleem op te lossen. Onze developers hebben daarom contact opgenomen met het bedrijf achter de plugin en uitgelegd waar de kwetsbaarheid zat. Op basis van onze bevindingen heeft het bedrijf de plugin aangepast en een update uitgebracht. Daarmee werd niet alleen de website van onze klant veiliger, maar waarschijnlijk ook die van veel andere organisaties die dezelfde plugin gebruiken.
Websiteveiligheid is een belangrijk intern thema
Dit soort situaties bevestigen voor ons telkens opnieuw dat websiteveiligheid niet begint bij tools of systemen, maar bij een bepaalde manier van werken. Natuurlijk maken we gebruik van technologie om websites te beschermen, maar uiteindelijk draait het om aandacht en verantwoordelijkheid. Daarom controleren we de websites die we beheren regelmatig op mogelijke kwetsbaarheden en gebruiken we daarvoor gespecialiseerde tools. Tegelijkertijd blijft het mensenwerk: onze developers kijken kritisch naar code, bespreken mogelijke risico’s met elkaar en zoeken continu naar manieren om websites nog beter te beschermen.
Die kennis delen we ook intern. Met enige regelmaat organiseren we meetings waarin we met het team bespreken hoe we de veiligheid van onze websites verder kunnen verbeteren. Daarbij delen developers tips over het schrijven van veilige code en bespreken we nieuwe technieken of ontwikkelingen. Soms leidt dat ook tot nieuwe oplossingen die we zelf ontwikkelen. Op dit moment werken we bijvoorbeeld aan onze eigen WordPress-beveiligingsplugin, die we beschikbaar willen stellen voor onze onderhoudsklanten.
Samenwerking met betrouwbare partners
Naast onze eigen werkwijze kiezen we ook bewust voor betrouwbare partners. Zo kunnen klanten hun website bij ons hosten via Kinsta, een hostingpartij die bekendstaat om zijn sterke focus op veiligheid en prestaties. Kinsta voldoet aan de Europese GDPR-richtlijnen en beschikt daarnaast over verschillende ISO-certificeringen, waaronder ISO 27001:2022, ISO 27017 en ISO 27018. Dat betekent dat ook de infrastructuur onder de websites die we bouwen volgens hoge veiligheidsstandaarden wordt beheerd.
Daarnaast maken we gebruik van oplossingen zoals Cloudflare om aanvallen al tegen te houden voordat ze onze servers bereiken. Dit helpt bijvoorbeeld om DDOS-aanvallen te blokkeren en voorkomt dat onze servers onnodig zwaar worden belast. Ook kijken we regelmatig onze servers na op bestanden die niet publiek toegankelijk horen te zijn. Op die manier proberen we risico’s proactief te beperken en problemen te voorkomen voordat ze impact hebben op onze klanten.
Die aanpak vinden we belangrijk, omdat de digitale wereld snel verandert. Websites worden steeds vaker doelwit van aanvallen, niet alleen door individuele hackers maar ook door georganiseerde groepen die op zoek zijn naar kwetsbare systemen. Soms gaat het om het verkrijgen van gevoelige informatie, soms om het platleggen van systemen. Dat zijn ontwikkelingen die laten zien hoe belangrijk het is om veiligheid serieus te nemen, ook voor organisaties die misschien niet meteen denken dat ze een interessant doelwit zijn.
Zie ons als digitale partner
Voor ons betekent dit dat onze rol verder gaat dan alleen het bouwen van een mooie website. We zien onszelf als digitale partner die meedenkt over de stabiliteit, veiligheid en toekomstbestendigheid van het platform waarop een organisatie online actief is. Dat betekent dat we blijven monitoren, onderhouden en verbeteren, ook lang nadat een website live is gegaan.
Tegelijkertijd realiseren we ons dat websiteveiligheid nooit “af” is. Technologie verandert continu en daarmee veranderen ook de risico’s. Nieuwe functionaliteiten brengen nieuwe mogelijkheden, maar soms ook nieuwe kwetsbaarheden. Daarom blijven we leren, testen en verbeteren. Niet omdat het verplicht is, maar omdat wij vinden dat dit hoort bij het bouwen en beheren van websites waar klanten op moeten kunnen vertrouwen.
Wil jij een nieuwe en vooral veilige website?
