De 10 meest voorkomende website kwetsbaarheden en hoe u ze voorkomt

Inleiding

Na het uitvoeren van honderden professionele security scans voor Nederlandse bedrijven, hebben we een duidelijk beeld gekregen van de meest voorkomende kwetsbaarheden. In dit artikel delen we onze bevindingen, gebaseerd op de OWASP Top 10 en onze praktijkervaring.

Belangrijk: Deze informatie is bedoeld voor website-eigenaren en developers die hun beveiliging willen verbeteren. Gebruik deze kennis alleen voor het beveiligen van uw eigen systemen.

1. Ontbrekende of verkeerd geconfigureerde Security Headers

Hoe vaak: Bij 78% van alle gescande websites

Security headers zijn HTTP response headers die de browser instructies geven over hoe om te gaan met de content. Ze zijn eenvoudig te implementeren maar worden vaak vergeten.

De belangrijkste headers:

• Strict-Transport-Security (HSTS)
• X-Content-Type-Options
• X-Frame-Options
• Content-Security-Policy
• Referrer-Policy
• Permissions-Policy

Oplossing:

Configureer deze headers in uw webserver (Apache of Nginx) of via uw applicatie code.

2. Verouderde software en plugins

Hoe vaak: Bij 65% van alle gescande websites

Dit is een van de meest voorkomende en gevaarlijkste problemen. Verouderde WordPress plugins, CMS-versies of server software bevatten vaak bekende kwetsbaarheden waarvoor exploits vrij beschikbaar zijn.

Wat we vaak tegenkomen:

• WordPress core versies die 2+ jaar oud zijn
• Plugins die niet meer worden onderhouden
• PHP versies die end-of-life zijn
• JavaScript libraries met bekende kwetsbaarheden

Oplossing:

1. Automatische updates inschakelen voor minor versions
2. Maandelijkse controle van alle plugins en themes
3. Verwijder ongebruikte plugins - elke plugin is een potentieel risico
4. Gebruik alleen plugins van betrouwbare bronnen met actief onderhoud

3. SQL Injection (SQLi)

Hoe vaak: Bij 23% van alle gescande websites

SQL injection blijft een van de gevaarlijkste kwetsbaarheden. Hierbij kan een aanvaller kwaadaardige SQL-code invoeren via input velden.

Veilige implementatie:

Gebruik altijd prepared statements met parameter binding in plaats van string concatenatie voor database queries.

4. Cross-Site Scripting (XSS)

Hoe vaak: Bij 34% van alle gescande websites

XSS stelt aanvallers in staat om kwaadaardige scripts uit te voeren in de browser van andere gebruikers.

Drie types XSS:

1. Reflected XSS: Script in URL wordt direct uitgevoerd
2. Stored XSS: Script wordt opgeslagen in database en aan andere gebruikers getoond
3. DOM-based XSS: Script manipuleert de DOM direct

Oplossing:

• Escape altijd user input voordat het wordt weergegeven
• Gebruik Content Security Policy headers
• Valideer input aan server-side

5. Onbeveiligde directe object referenties (IDOR)

Hoe vaak: Bij 29% van alle gescande websites

IDOR ontstaat wanneer een applicatie gebruikersinput gebruikt om direct toegang te krijgen tot objecten zonder adequate autorisatie controle.

Oplossing:

1. Controleer altijd of de ingelogde gebruiker geautoriseerd is
2. Gebruik onvoorspelbare identifiers (UUIDs)
3. Implementeer access control op server-side

6. Gevoelige data in broncode of configuratie

Hoe vaak: Bij 41% van alle gescande websites

We vinden regelmatig gevoelige informatie die publiekelijk toegankelijk is:

• API keys in JavaScript bestanden
• Database credentials in config bestanden
• .git folders met complete repository geschiedenis
• .env bestanden met alle secrets

Oplossing:

1. Blokkeer toegang tot gevoelige bestanden via server configuratie
2. Gebruik environment variables voor secrets
3. Scan uw repository op gelekte credentials
4. Roteer direct alle credentials die ooit publiek waren

7. Ontbrekende rate limiting

Hoe vaak: Bij 56% van alle gescande websites

Zonder rate limiting kunnen aanvallers onbeperkt:

• Login pogingen uitvoeren (brute force)
• Formulieren spammen
• API endpoints overbelasten (DoS)

Oplossing:

Implementeer rate limiting op kritieke endpoints, vooral login, wachtwoord reset, en API calls.

8. Onveilige wachtwoord opslag

Hoe vaak: Bij 18% van alle gescande websites

Nog steeds slaan sommige websites wachtwoorden op in plain text of met zwakke hashing algoritmes.

De enige juiste methode:

Gebruik moderne password hashing functies zoals bcrypt, Argon2, of scrypt met automatische salt generatie.

9. Ontbrekende HTTPS of mixed content

Hoe vaak: Bij 12% van alle gescande websites

Hoewel HTTPS steeds gebruikelijker wordt, zien we nog steeds:

• Websites zonder SSL certificaat
• HTTP naar HTTPS redirects die ontbreken
• Mixed content (HTTPS pagina laadt HTTP resources)

Oplossing:

1. Installeer een SSL certificaat (Let's Encrypt is gratis)
2. Forceer HTTPS via redirect
3. Gebruik HSTS header
4. Scan op mixed content met browser DevTools

10. Verbose error messages

Hoe vaak: Bij 44% van alle gescande websites

Gedetailleerde foutmeldingen in productie geven aanvallers waardevolle informatie over database structuur, bestandspaden, software versies, en stack traces.

Oplossing:

Configureer uw applicatie om generieke foutmeldingen te tonen aan gebruikers, terwijl gedetailleerde errors alleen worden gelogd server-side.

Conclusie

Deze 10 kwetsbaarheden zijn verantwoordelijk voor het overgrote deel van alle website inbraken. Het goede nieuws: ze zijn allemaal te voorkomen met de juiste kennis en tools.

Volgende stappen:

1. Scan uw website - Onze gratis security scanner controleert automatisch op veel van deze kwetsbaarheden
2. Prioriteer op risico - Begin met de kritieke problemen
3. Implementeer fixes - Gebruik de oplossingen in dit artikel
4. Blijf up-to-date - Security is een continu proces

Wilt u zeker weten dat uw website veilig is? Onze professionele vulnerability scan controleert meer dan 50.000 beveiligingspunten en geeft u een compleet rapport met prioriteiten en oplossingen.