Een website beveiligen is geen product dat je aanzet, maar een stapel lagen die elkaar opvangen. Dit zijn de zes lagen die wij op elke site standaard toepassen.
De basis: updates, toegang en back-ups
Laag één is saai maar cruciaal: core, plugins en PHP up-to-date houden. Laag twee: toegangscontrole met sterke wachtwoorden, 2FA en zo weinig mogelijk administrators. Laag drie: dagelijkse back-ups op een andere locatie dan de site zelf.
De verdieping: firewall, headers en monitoring
Laag vier is een web application firewall die verdacht verkeer blokkeert vóór het je site raakt. Laag vijf: security headers (CSP, HSTS, X-Frame-Options) die de browser vertellen wat wel en niet mag. Laag zes: monitoring die ons verwittigt bij afwijkingen, niet jou, wij lossen het op.
Zes lagen klinkt veel, maar in een managed omgeving merk je er niets van. Behalve dan dat het gewoon altijd werkt.