Hoe beveilig ik mijn WordPress website en persoonsgegevens voor de AVG?

Voor de Algemene Verordening Gegevensbescherming (AVG) is het beveiligen van de persoonsgegevens die je verwerkt een van de eisen. Je komt niet meer weg met een zwak wachtwoord, en moet de beveiliging van je website eens goed onder de loep nemen. Ik vertel je de belangrijkste maatregelen om vandaag nog door te voeren:

1 Beveilig je computer en smartphone

Beveiliging begint met de bestanden op je eigen computer en mobiele telefoon staan. Die telefoonnummers van klanten zijn namelijk persoonsgegevens die onder de nieuwe wet vallen en ze bevatten vaak bedrijfsdocumenten. Beveilig ze met de volgende tips:

• Zorg altijd voor een wachtwoord wanneer de computer of telefoon aangaat of uit slaapstand komt,
• Gebruik een sterk en uniek wachtwoord (meer hierover in de volgende tip),
• Zorg dat je computer encrypte (vergrendeld) is (Leer meer hierover op Howtogeek)
• Investeer in een goede firewall, malware en anti-virus software op al je online apparaten (ik heb zelf Bitdefender Total Security die ook voor mobiel kan worden gebruikt),
• Log niet in op openbare WIFI spots zonder VPN (groot risico op datalekken!).
• Zorg ervoor dat je je apparaten op afstand kan wissen (remote wipe) mochten ze gestolen worden
• Geef alleen mensen toegang tot dingen waar ze daadwerkelijk moeten zijn. Dus niet een tekstschrijven beheerder van je website maken en verwijder gebruikers die niet langer actief zijn.
• Monitor je website door registraties en logins te documenteren (loggen) en veranderingen van bestanden te noteren (bijvoorbeeld met beveiligingsplugins)
• Bewaar gegevens niet langer dan nodig. Ook het pseudonimiseren van gegevens is niet altijd voldoende.

Het lijkt heftig, maar dit zijn geen bijzondere maatregelen. Als het goed is doe je dit al om verlies van (gevoelige) data, hacks, phishing, ransomware, en vooral gedoe te voorkomen.

2 Gebruik sterke wachtwoorden en een wachtwoordmanager

Ik zie het helaas nog te vaak bij mijn klanten: Henk24 als wachtwoord voor online diensten. Herkenbaar? De meeste mensen doen er wat lacherig over en schamen zich er een beetje voor, maar het is een heel slecht idee om zulke zwakke wachtwoorden te gebruiken. Door het gebruik hiervan is je website niet alleen onveilig, maar bijvoorbeeld ook je e-mailaccount als dat hetzelfde wachtwoord heeft.

Zorg in ieder geval voor een random wachtwoord van minstens 16 karakters. Het liefst maak je dat aan in je Password Manager (ik gebruik zelf Lastpass). Met zo’n manager hoef je maar 1 sterk wachtwoord te onthouden voor de honderden sterke random wachtwoorden voor al je accounts te gebruiken. Je logt ook nog eens razendsnel in met de browserextensie. Doen dus.

Maak unieke een random wachtwoorden van minstens 16 karakters

Heb je principiële bezwaren hiertegen, dan kun je op de volgende offline manier toch een relatief veilig, makkelijk te onthouden uniek wachtwoord verzinnen voor elke site: Zing je favoriete popnummer en gebruik de eerste 16 letters van de woorden als een prima nieuw wachtwoord. Vervang soms een i door een 1 en een o door een 0 en voeg een paar speciale karakters toe die je makkelijk kan onthouden (zoals @, $ of &). Dit basiswachtwoord maak je uniek door in het midden, aan het begin, of aan het eind 3 letters van het begin van de URL waar je op dat moment bent (zonder www natuurlijk)  dan kun je het ook nog voor al die honderden websites onthouden.

Lees ook mijn artikel: Wachtwoorden en 2-factor authentication: maak het jezelf gemakkelijk en veilig!

Voorbeeld: Het is een nacht van Guus Meeuwis gebruikt op bol.com: jv0izhi1s’t2uswl0bi1hi1s(@bol#) Hoe sterk is dit wachtwoord nu? Dit is het resultaat van het checken op: https://howsecureismypassword.net

3 Wachtwoord plus X = 2-factor authenticatie

Een sterk wachtwoord is tegenwoordig niet meer voldoende, stel dat je wachtwoord toch bekend is, dan kan iedereen zomaar inloggen op jouw accounts. Daarom is het in ieder geval voor je belangrijkste online software waar je niet zonder kan zoals e-mail, je website, DigiD en de belastingdienst nodig om 2-factor authenticatie in te stellen. Dat is een combinatie van een wachtwoord plus een andere manier van inloggen. Bijvoorbeeld door naast je wachtwoord ook een unieke code in te voeren die zojuist naar je e-mail is gestuurd, of door de code uit de Google Authenticator app op je smartphone in te vullen, of door na inloggen op je Yubikey te drukken. Voor al mijn klanten ben ik dit al aan het doorvoeren op hun WordPress website met behulp van de iThemes Security Pro plugin.

Meer weten over hoe je je WordPress website veilig maakt? Lees dan mijn artikel over WordPress beveiliging:

4 Sla contactformulieren niet op

Contactformulier op je website? Zorg er dan voor dat die alleen maar e-mails doorstuurt naar je inbox en ze niet opslaat op je computer. Ik gebruik graag Formcraft formulieren, zij hebben nu een functie waarbij je kunt voorkomen dat ze in je database worden opgeslagen. Ga naar je formulier > Settings > Advanced  en vul 0 in voor Delete data entries. Zet dan ook de functie voor het opslaan van data in de browser uit. De Contact form 7 plugin doet dit trouwens standaard niet en is een goed alternatief.

Zoek je een hostingbedrijf wat er alles aan doet om jouw gegevens veilig te houden? Kijk eens naar SiteGround, met gratis overstapservice en servers in Amsterdam zodat je voldoet aan de AVG wetgeving!

5 Stop met het stalken van je bezoekers

Het is leuk om te zien wie je website heeft bezocht, maar voor de meeste van onze klanten is het niet heel erg belangrijk. Wij adviseren dan ook om alle cookies op je site te verwijderen, je wordt er een stuk sympathieker van. Dat zijn wij inmiddels ook aan het doen!

Haal die Google Analytics tracking code uit je site, delete de Facebook pixels. Denk ook aan andere plugins die bijvoorbeeld IP adressen bijhouden zoals social media (Facebook) like plugins, Google AdSense, AdWords, en je boodschappenmandje. Tenzij je het echt nodig hebt (bij een webshop zijn cookies wel echt fijn voor je gebruiker) kun je het laten staan, maar dan moet je wel een flinke cookiemuur voor je website bouwen. Voor Google Analytics heb ik een goed alternatief gevonden: WP Statistics is volgens mij goed voor de privacy van je bezoekers en plaatst geen cookies (geloof me niet op mijn woord en test het zelf uit met verschillende instellingen!).

Google Analytics is een cookiemonster

Niet zeker of je cookies hebt? Je kan het zien via de Chrome developer tools te vinden via F12 of rechtermuisknop “Inspect” (zie ook Cookielawinfo.com). Check het op alle pagina’s, bij het invullen van een formulier, het bekijken van een video of er cookies worden geplaatst.

Cookies van Google Anaytlics heten meestal _ga _gat en _gid. Heb je YouTube video op je website? Dan heb je ook cookies. Die kun je trouwens zelf blokkeren door ze handmatig te embedden met deze link https://www.youtube-nocookie.com/embed/ Heb je Jetpack geïnstalleerd? Dan gebruik je vaak ook al cookies.

Lees meer op mijn blog over cookies, de cookiewet en de AVG:

6 Offline beveiliging is ook belangrijk

Je kunt niet achterover leunen wanneer je eenmalig je website hebt beveiligd. Beveiliging is meer dan een plugin en online tools. Veilige data betekend ook dat je als beheerder van je websites niet wegloopt van een ingelogde computer in een coffeeshop. Zorg ervoor dat je geen gevoelige data emailt naar iemand, bewaar die harde schijven in je huis achter slot en grendel. Als jij lekker op een terrasje zit, leg dan je telefoon (met toegang tot je website en backups) op tafel. Een gestolen telefoon of dossiermap of een achtergelaten USB stick in een Uber is ook een datalek!

Let op: dit is geen juridisch advies en ik ben geen advocaat. Deze blog is ontstaan omdat ik mijn eigen klanten wilde informeren over deze wet. Hiervoor heb ik heb zelf juridisch advies gevraagd, het boek over de AVG gelezen en privacy documenten opgesteld, maar ik kan absoluut geen advies uitbrengen over wat jij met je bedrijf moet doen om te voldoen aan de nieuwe eisen.