Website-wijzigingen en defacement monitoren: weet het direct als je site verandert

De meeste ondernemers kijken zelf zelden naar hun eigen website. Je opent je homepage hooguit een keer per week, en dan nog vluchtig. In die tussentijd kan er van alles gebeuren. Een aanvaller die je beheeromgeving binnenkomt vervangt soms de tekst door een politieke boodschap of een lijst met gehackte bestanden, soms plaatst hij stilletjes verborgen links naar dubieuze webshops of casino's. In het eerste geval is de schade meteen zichtbaar en pijnlijk, in het tweede geval merk je het pas als Google je site afstraft of een bezoeker je belt.

Naast moedwillige aanvallen is er een hele categorie ongelukken. Een deploy die halverwege afbreekt laat een witte pagina achter. Een update van je CMS of een plugin sloopt de opmaak. Iemand zet per ongeluk een pagina op concept in plaats van gepubliceerd, waardoor je belangrijkste landingspagina verdwijnt. De klant ziet geen verschil tussen kwaadwilligheid en een technisch ongeluk: hij ziet alleen een site die kapot of verdacht is, en trekt zijn conclusies over je betrouwbaarheid.

Het echte probleem is de tijd tussen de wijziging en het moment dat je het doorhebt. Een paar uur is vervelend, een paar dagen is schadelijk, een paar weken kan je reputatie blijvend raken. Hoe langer een beklade of lege pagina online staat, hoe groter de kans dat een prospect, een bestaande klant of een zoekmachine 'm ziet. Monitoring lost de aanval zelf niet op, maar verkort die blinde periode van weken naar minuten.

Defacement is de meest in het oog springende vorm. De aanvaller wil gezien worden en vervangt je startpagina door een eigen boodschap. Dat is vervelend, maar het voordeel is dat je het direct weet zodra iemand kijkt. Gevaarlijker zijn de stille aanpassingen: ingevoegde spamlinks, een onzichtbaar stukje JavaScript dat bezoekers doorstuurt of meekijkt, of een nagemaakt inlogformulier dat wachtwoorden afvangt. Deze veranderingen zijn klein in omvang, maar groot in gevolg.

Een tweede categorie heeft niets met kwaadwilligheid te maken, maar met je eigen techniek. Een mislukte deploy laat een lege of half-geladen pagina achter. Een database die niet bereikbaar is geeft een foutmelding in plaats van je content. Een caching-laag die verkeerd staat ingesteld serveert ineens een oude of lege versie. In al deze gevallen is de inhoud van je pagina drastisch anders dan normaal, vaak veel korter, en juist dat verschil in omvang is goed te meten.

Daarnaast zijn er de menselijke vergissingen binnen je eigen organisatie of bureau. Een redacteur verwijdert een sectie, een ontwikkelaar zet een testpagina live, een stagiair overschrijft de verkeerde template. Dit is geen hack en geen storing, maar het effect op de bezoeker is hetzelfde: de pagina klopt niet meer. Goede monitoring maakt geen onderscheid naar oorzaak. Ze meet simpelweg of de inhoud van vandaag fundamenteel afwijkt van die van gisteren, en laat het oordeel over de oorzaak aan jou.

De basis is eenvoudiger dan het lijkt. Een monitor haalt periodiek je pagina op, net als een gewone bezoeker, en bewaart een momentopname van de inhoud. Bij de volgende controle vergelijkt hij de nieuwe versie met de vorige. Vaak gebeurt dat met een vingerafdruk (een hash) van de relevante tekst, of door de hoeveelheid zichtbare inhoud te meten. Als de vingerafdruk anders is of de pagina ineens veel korter, dan is er iets veranderd dat de moeite waard is om naar te kijken.

De kunst zit in het onderscheid tussen normale en abnormale verandering. Een nieuwssite of webshop verandert continu: nieuwe artikelen, wisselende prijzen, een andere uitgelichte aanbieding. Dat wil je niet elke keer gemeld krijgen. Daarom kijkt verstandige monitoring naar de grootte en aard van de wijziging, niet naar elk woord. Een paar gewijzigde productprijzen is ruis. Een homepage die van vijftienhonderd woorden naar twintig woorden zakt, of waar plots een totaal andere tekst op staat, is een signaal. Drempelwaardes en het negeren van dynamische blokken houden het aantal valse meldingen laag.

CheckBorg heeft hiervoor wijzigings- en defacement-bewaking ingebouwd: de scanner controleert je site doorlopend en slaat alarm zodra de inhoud grootschalig verandert, bijvoorbeeld bij een leeggelopen pagina, een vervangen homepage of een verdachte verschuiving in de tekst. Het idee past in de bredere waakhond-aanpak van CheckBorg, waarbij je niet alleen een momentopname krijgt maar ook gewaarschuwd wordt als je SSL-certificaat verloopt, je site onbereikbaar wordt of je kwaliteitsscore plots daalt. Zo merk je een groot verschil binnen minuten in plaats van pas bij de volgende keer dat je toevallig zelf kijkt.

Een melding is geen reden voor paniek, maar wel voor een vaste volgorde. Stap een is kijken: open de pagina zelf, het liefst in een incognitovenster zodat je geen oude versie uit je cache ziet. Bevestig wat er aan de hand is. Is de pagina leeg, vervangen, of staat er ongewenste content op? Vergelijk met wat je verwacht. Soms blijkt een melding een legitieme aanpassing die je collega net heeft gedaan, en dan ben je in dertig seconden klaar.

Is het wel raak, dan is stap twee inschatten of het een aanval of een ongeluk is. Een lege of half-geladen pagina wijst meestal op een mislukte deploy of een serverprobleem. Vreemde tekst, links naar onbekende domeinen of een compleet andere boodschap wijzen op een hack. Bij een vermoeden van een inbraak handel je voorzichtig: wijzig wachtwoorden van je CMS, hosting en e-mail, zet waar mogelijk de site tijdelijk in onderhoudsmodus en betrek meteen je hostingpartij of bureau. Verwijder niet meteen alle sporen, want logbestanden helpen later om te begrijpen hoe iemand binnenkwam.

Stap drie is herstellen en vastleggen. Zet een schone back-up terug of draai de mislukte deploy terug naar de laatste werkende versie. Controleer daarna of de pagina echt weer klopt, het liefst met een nieuwe scan zodat je zwart op wit hebt dat de inhoud terug is. Noteer kort wat er gebeurde, wanneer, en wat je deed. Die aantekening is goud waard als het nog eens gebeurt, en bij een datalek heb je voor de AVG sowieso een vorm van vastlegging nodig.

Wijzigingsbewaking staat niet op zichzelf. Een leeggelopen pagina valt vaak samen met een site die traag of onbereikbaar is, en een gehackte pagina gaat soms gepaard met een verlopen of ineens ongeldig SSL-certificaat. Door content-monitoring te combineren met uptime-bewaking, certificaatbewaking en een doorlopende kwaliteitsscore krijg je een vollediger beeld. Eén melding alleen vertelt je dat er iets is, meerdere signalen samen vertellen je vaak meteen wat er aan de hand is.

Voor bureaus is dit extra waardevol. Als je tien, twintig of vijftig klantsites beheert, kun je onmogelijk elke dag handmatig elke homepage controleren. Doorlopende monitoring per site, met meldingen die bij de juiste persoon binnenkomen, maakt het verschil tussen proactief reageren en achteraf excuses maken. Je hoort het van je systeem en niet van je klant, en dat verschil bepaalt hoe professioneel je overkomt. Een onafhankelijke scanner die niets aan je bouwt of verkoopt, maar puur meet en alarmeert, is daarbij een neutrale waakhond naast je eigen techniek.

Belangrijk is wel om reëel te blijven over wat monitoring doet. Het voorkomt geen inbraak en repareert geen mislukte deploy. Het is een rookmelder, geen brandweer. Maar net als een rookmelder is de waarde enorm: hij zet je aan het werk op het moment dat het nog klein is, in plaats van wanneer het al uit de hand is gelopen. Combineer monitoring daarom altijd met goede basishygiëne zoals sterke wachtwoorden, tweestapsverificatie, tijdige updates en betrouwbare back-ups.