Wat moet je wel en wat moet je niet doen?
WEL DOEN:
Begin met een schone installatie van je webserver en website en installeer de updates.
1. Maak een snapshot of image van de server en een backup van de website.
2. Installeer alle updates en kijk of alles nog werkt.
3. Maak een tweede snapshot als dat mogelijk is, en een tweede backup.
4. Installeer alle updates en kijk of alles nog werkt. Terug naar 1. enz...
Maak een duidelijk stappenplan van de te nemen stappen zoals ik op mijn website probeer te beschrijven.
Voer stappen altijd één voor één uit en controleer na elke stap of alles goed gaat.
Soms moet je meerdere stappen nemen voordat je kan weten of alles nog goed gaat.
Controleer na elke stap de werking van je website in het debugscherm van je browser en de werking van je webserver in je logboeken.
NIET DOEN:
-Teveel wijzigingen tegelijk aanbrengen. Lees: meer dan 1.
Zo kom je er niet achter welke wijziging een probleem heeft veroorzaakt als het mis gaat.
-Stappen overslaan.
Soms moeten er dingen veranderen in een exacte volgorde.
Als je hiervan afwijkt gaat het niet goed, fout of erger.
-Veranderingen aanbrengen die er voor zorgen dat je website of webserver onbereikbaar wordt.
Is niet handig maar je kan er wellicht iets van leren.
-Bang zijn.
Het is tenslotte maar een computer. En met de stappen uit WEL DOEN kom je altijd weer veilig thuis.
Succes!!
Overwegingen:
Onderstaande beveilingsmaatregelen zijn overwegingen.
Depricated security measures:
in Content Security Protocol:
frame-src
Ik gebruikte deze source in de buienradar-weathersymbol-gadget.
Nu in child-src
Maar die is ook depricated. Het moet worker-src of script-src worden.
Depricated protocols:
TLSv1.1 TLSv1.0 SSL2 SSL3
Mijn website gebruikt alleen TLSv1.2
TLSv1.2 bestaat al sinds 2008 en alle browsers na 2012 ondersteunen het.
HTTP compression:
Volgens de website internet.nl is het gebruik van HTTP compression onveilig omdat het kwetsbaar is voor de zogenaamde BREACH attack.
Ciphersuites als je ook bereikbaar wilt zijn voor oudere apparaten:
Apache 2.4.38:
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-RSA-AES256-SHA
IIS 10:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Laatst gewijzigd op 18/01/2021