Je website is 24/7 online, en dat betekent helaas ook dat hij 24/7 doelwit is. Hosting security is daarom geen luxe, maar een harde voorwaarde om veilig, stabiel en betrouwbaar online te blijven. Toch is het voor veel ondernemers een onderwerp dat snel technisch aanvoelt, en dus wordt uitgesteld.
In dit explainer-artikel leggen we de basis van hosting security helder uit: wat firewalls doen, waarom updates zo belangrijk zijn en welke lagen je nog meer nodig hebt om écht veilig te zitten. Geen jargon, wel concrete handvatten.
Waarom hosting security ertoe doet
Een gehackte website is meer dan een technisch probleem. Het kost je:
- Vertrouwen bij bezoekers en klanten (denk aan een Google-waarschuwing "deze site kan gevaarlijk zijn")
- SEO-rankings, omdat Google gehackte sites snel uit de index haalt
- Omzet, door downtime of geblokkeerde betalingen
- Tijd en geld om alles op te ruimen, te herstellen en eventuele datalekken te melden
De meeste aanvallen zijn geautomatiseerd. Bots scannen het internet continu op kwetsbare servers, verouderde plugins en zwakke wachtwoorden. Je hoeft dus geen "groot doelwit" te zijn om aangevallen te worden, klein en slecht onderhouden is vaak genoeg.
Goede hosting security begint bij een goede hostingprovider, maar ophoudt daar zeker niet.
De twee pijlers: firewalls en updates
Als je maar twee dingen goed regelt, dan zijn het deze twee: een stevige firewall-configuratie én een strak updatebeleid. Samen voorkomen ze het leeuwendeel van alle aanvallen.
Wat doet een firewall precies?
Een firewall is een filter tussen jouw server en de rest van het internet. Alles wat binnenkomt (en soms uitgaat) wordt gecontroleerd op basis van regels. Verdacht verkeer wordt geblokkeerd, legitiem verkeer wordt doorgelaten.
Je hebt grofweg drie types firewalls die bij hosting relevant zijn:
- Network firewall: filtert op IP-adres en poort. Sluit bijvoorbeeld alle poorten af behalve 80 (HTTP), 443 (HTTPS) en 22 (SSH).
- Host-based firewall: draait op de server zelf, bijvoorbeeld
iptables,nftablesoffirewalldop Linux. - Web Application Firewall (WAF): analyseert HTTP-verzoeken en blokkeert aanvallen op applicatieniveau (SQL-injectie, XSS, brute force op loginpagina's).
Een WAF zoals Cloudflare, Sucuri of de ingebouwde WAF in veel managed hostingpakketten is vooral voor CMS-sites zoals WordPress of Magento erg waardevol. Die krijgen namelijk veel aanvallen op het applicatieniveau die een gewone netwerkfirewall niet ziet.
Waarom updates cruciaal zijn
Bijna elke grote hack begint bij een bekend beveiligingslek. Dat klinkt gek, maar het is logisch: zodra een kwetsbaarheid publiek wordt gemaakt (met een CVE-nummer), beginnen bots diezelfde dag nog te scannen op sites die de patch nog niet hebben geïnstalleerd.
Updates die je moet bijhouden:
- Besturingssysteem van de server (Linux-kernel, systeempakketten)
- Webserver-software (Nginx, Apache, LiteSpeed)
- PHP/MySQL/Node versies, oude versies krijgen geen security patches meer
- Control panel software zoals cPanel of Plesk
- CMS core (WordPress, Drupal, Joomla, Magento)
- Plugins, modules en thema's, vaak dé zwakke schakel
Voor veel server-level updates kun je unattended upgrades inschakelen, waarbij kritieke beveiligingspatches automatisch worden geïnstalleerd. Op Debian/Ubuntu is dit het pakket unattended-upgrades, op CentOS/RHEL kun je dnf-automatic gebruiken.
Voor WordPress-achtige CMS'en raden we aan om minor updates en security-patches automatisch te laten draaien, en major updates eerst op een staging-omgeving te testen.
Wie is waarvoor verantwoordelijk?
Dit is een van de belangrijkste vragen in hosting security, en het antwoord verschilt per hostingtype. We schreven eerder uitgebreid over managed vs unmanaged hosting, een must-read als je twijfelt.
| Onderdeel | Shared hosting | Managed VPS | Unmanaged VPS |
|---|---|---|---|
| OS & kernel updates | Provider | Provider | Jij |
| Webserver updates | Provider | Provider | Jij |
| Firewall-configuratie | Provider | Provider (meestal) | Jij |
| SSL-certificaten | Provider | Provider/Jij | Jij |
| CMS & plugin updates | Jij | Jij | Jij |
| Back-ups & restore | Provider | Provider/Jij | Jij |
| Monitoring | Beperkt | Ja | Jij |
Kies je voor een VPS zonder management, dan ligt de volledige security-verantwoordelijkheid bij jou (of je bureau). Dat geeft vrijheid, maar vraagt ook serieuze kennis en tijd.
Beyond the basics: de andere security-lagen
Firewalls en updates zijn de basis. Maar een serieus securitybeleid bestaat uit meerdere lagen, het zogenaamde defense in depth-principe. Eén laag faalt ooit; de andere lagen vangen het op.
1. Sterke authenticatie
- Tweefactor-authenticatie (2FA) overal waar het kan: hosting control panel, SSH, CMS-admin.
- SSH-keys in plaats van wachtwoorden voor serverlogin. Schakel
PasswordAuthentication noinsshd_config. - Unieke, lange wachtwoorden per dienst, beheerd via een password manager (1Password, Bitwarden).
- Blokkeer standaard admin-usernames zoals
adminofroot.
2. Minst-privileges principe
Geef elke gebruiker, elk script en elke service alleen de rechten die strikt nodig zijn. Een WordPress-database-user heeft bijvoorbeeld geen DROP TABLE-rechten nodig tijdens normale werking. En een developer met alleen een staging-login hoort geen productie-toegang te hebben.
3. SSL/TLS overal
Zorg dat al je verkeer versleuteld is via HTTPS. Gratis certificaten via Let's Encrypt zijn prima, als ze maar automatisch vernieuwen. Forceer HTTPS via een HTTP-naar-HTTPS redirect en activeer HSTS.
4. Back-ups die écht werken
Een back-up is pas een back-up als je hem ook succesvol hebt teruggezet. Test dat minstens één keer per kwartaal. Belangrijke principes:
- 3-2-1-regel: 3 kopieën, op 2 verschillende media, waarvan 1 offsite.
- Versleuteld opgeslagen, vooral als er persoonsgegevens in zitten.
- Losgekoppeld van de live server, anders versleutelt ransomware ook je back-ups.
5. Monitoring en logging
Je kunt alleen reageren op wat je ziet. Minimaal wil je:
- Uptime monitoring (bijv. UptimeRobot, Better Stack)
- Log-aggregatie van webserver, PHP en applicatie
- Security alerts van je WAF of provider
- File-integrity monitoring dat waarschuwt bij onverwachte wijzigingen aan kernbestanden
Veel van deze tools zijn gratis of goedkoop, en onmisbaar als je écht snelle, stabiele hosting wilt leveren.
Veelgemaakte security-fouten
In onze praktijk zien we telkens dezelfde fouten terugkomen:
- "Het werkt, dus niet aankomen." Een site die al twee jaar geen updates heeft gehad is een tijdbom.
- Testomgevingen publiek toegankelijk laten staan, vaak met oude data en zwakke wachtwoorden.
- FTP in plaats van SFTP gebruiken. FTP stuurt wachtwoorden in leesbare tekst over het internet.
- Geen monitoring, de hack wordt ontdekt door een klant of Google, niet door jou.
- Alle eieren in één mandje: één server met alle klantensites én back-ups op dezelfde schijf.
- Plugin-overload bij WordPress: elk extra plugin is een extra aanvalsoppervlak.
Wil je weten waar je als ondernemer op moet letten bij het voorkomen van deze fouten? Lees dan hoe je de juiste hostingprovider kiest, daar nemen we security expliciet mee als selectiecriterium.
Praktische security-checklist
Gebruik deze lijst als snelle audit voor je eigen hostingomgeving:
- Besturingssysteem en software draaien op ondersteunde versies
- Security-updates worden binnen 72 uur geïnstalleerd
- Firewall geconfigureerd, alleen noodzakelijke poorten open
- WAF actief (zeker bij CMS-sites)
- HTTPS afgedwongen, HSTS actief
- 2FA ingeschakeld op alle beheer-accounts
- SSH-toegang via keys, root-login uitgeschakeld
- Sterke, unieke wachtwoorden via password manager
- Dagelijkse, geteste, offsite back-ups
- Uptime- en integriteitsmonitoring actief
- Duidelijke rolverdeling tussen jou en je hostingprovider
Als je meer dan drie vinkjes mist, is er werk aan de winkel.
Externe bronnen om dieper in te duiken
Security is een vakgebied op zich. Deze bronnen zijn goudwaard:
- OWASP Top 10, de standaard voor webapplicatie-beveiliging
- NCSC Nederland, actueel nieuws en adviezen van het Nationaal Cyber Security Centrum
- CIS Benchmarks, concrete hardening-richtlijnen per besturingssysteem
Conclusie
Hosting security hoeft niet ingewikkeld te zijn, maar vraagt wel consequent onderhoud. Met een goed geconfigureerde firewall, tijdige updates en een paar aanvullende lagen (2FA, back-ups, monitoring) dek je de overgrote meerderheid van alle aanvallen af.
Heb je geen zin of tijd om dit allemaal zelf te regelen? Dan is managed hosting bij een provider die security serieus neemt vaak de verstandigste keuze, zeker als je website of webshop centraal staat in je bedrijfsvoering.
Veelgestelde vragen
Wat is hosting security precies?
Hosting security is het geheel van maatregelen dat jouw server, website en data beschermt tegen ongeautoriseerde toegang, malware en uitval. Het omvat onder andere firewalls, updates, toegangsbeheer en monitoring.
Is een firewall genoeg om mijn website te beveiligen?
Nee, een firewall is een belangrijke eerste verdedigingslinie, maar niet voldoende. Je hebt ook tijdige updates, sterke wachtwoorden, SSL, back-ups en monitoring nodig om goed beschermd te zijn.
Wie is verantwoordelijk voor updates: ik of mijn hostingprovider?
Dat hangt af van het type hosting. Bij managed hosting regelt de provider server-updates, bij unmanaged ben je dat zelf. Updates van je website (zoals WordPress core, plugins en thema's) zijn bijna altijd jouw verantwoordelijkheid.
Hoe vaak moet ik updates uitvoeren?
Kritieke security-updates installeer je zo snel mogelijk, idealiter binnen 24 tot 72 uur. Reguliere updates van CMS, plugins en thema's plan je minimaal wekelijks of maandelijks, afhankelijk van de grootte van je site.
Wat is het verschil tussen een WAF en een gewone firewall?
Een gewone firewall filtert netwerkverkeer op basis van poorten en IP-adressen. Een Web Application Firewall (WAF) gaat verder: die analyseert HTTP-verkeer en blokkeert aanvallen zoals SQL-injectie, XSS en bot-scans op applicatieniveau.