Development
Security
3 minuten leestijd
Veel websites zien er goed uit, laden snel en staan hoog in Google. Maar achter de schermen missen ze een beveiligingslaag die steeds vaker onder de loep komt — zeker nu digitale veiligheid ook buiten de IT-afdeling op de agenda staat.
Die laag heet: security headers.
Wat zijn security headers?
Een website communiceert voortdurend met de browser van je bezoeker. Bij elke pagina die geladen wordt, stuurt de server instructies mee over hoe de pagina weergegeven moet worden.
Security headers zijn een onderdeel van die instructies. Ze vertellen de browser expliciet wat wel en niet toegestaan is en beschermen zo zowel je website als je bezoekers tegen een reeks veelvoorkomende aanvallen.
Denk aan:
- Voorkomen dat je website in een iframe van een externe partij geladen wordt (clickjacking)
- Afdwingen van een beveiligde HTTPS-verbinding
- Bepalen welke informatie browsers doorgeven bij het navigeren tussen pagina’s
- Beperken welke browserfuncties je website mag gebruiken
Zonder die headers laat je de browser raden. En dat is precies het gat dat kwaadwillenden kunnen misbruiken.
Waarom dit nu relevanter is dan ooit
Steeds meer organisaties worden beoordeeld op hun digitale beveiliging, niet alleen intern, maar ook door klanten, partners en auditors. NIS2, de Europese richtlijn voor netwerk- en informatiebeveiliging, vergroot die druk op B2B-bedrijven.
Een website zonder security headers scoort slecht op gangbare beveiligingsscans en die scans worden steeds vaker uitgevoerd. Door klanten die leveranciers screenen. Door inkopers met een checklist. Door externe partijen die beweren dat ze “een lek gevonden hebben” en je daarvoor willen laten betalen.
De kans dat dit ook bij jouw organisatie langs komt, neemt toe.
Wat wij doen: Security Hardening
We hebben Security Hardening toegevoegd aan ons dienstenpakket. Een eenmalig traject waarbij we de beveiliging van je website op orde brengen op het vlak van HTTP-headers.
Wat we aanpakken:
- HSTS — dwingt altijd een beveiligde HTTPS-verbinding af
- X-Frame-Options — voorkomt dat je site in een iframe van een externe partij geladen wordt
- X-Content-Type-Options — beschermt tegen bestandstype-manipulatie
- Referrer Policy — regelt welke informatie meegegeven wordt bij links naar andere sites
- Permissions Policy — beperkt toegang tot browserfuncties als camera, microfoon en locatie
- Verwijderen van informatie die technologie en versienummers onnodig zichtbaar maakt voor buitenstaanders
Het resultaat: een aantoonbaar betere beveiligingsscore en een website die voldoet aan de basisvereisten die steeds vaker worden verwacht.
Niet alleen voor de grote spelers
Security headers zijn geen luxe voor enterprise-bedrijven. Het zijn basismaatregelen, vergelijkbaar met een slot op de achterdeur. Het kost weinig, maar het ontbreken ervan valt op.
Voor toonaangevende bedrijven die hun digitale reputatie serieus nemen, is dit geen vraag van of, maar van wanneer.
Klaar om je website te laten doorlichten?
Wil je weten hoe je website er nu voor staat? We kijken het graag voor je na en komen met een concreet advies.
Geschreven door
Jeroen Klumpenaar
Lees ook
Development
WordPress
3 minuten leestijd
WordPress 7.0 – grote update
Development
Investering
3 minuten leestijd
Belangrijke melding op je website? Zo regel je dat eenvoudig
Laat groei geen toeval zijn.
Neem contact op!
Johan van den Deijssel
Partner & Creative director