Defaults.Exposed › Oplossingen › CDN / WAF & hosting

Hoe je CDN / WAF & hosting oplost

Twee blikken op het leidingwerk achter uw website: of u achter een beschermend schild zit (een CDN met een Web Application Firewall, zoals Cloudflare) dat aanvallen filtert en verkeerspieken opvangt, en een kaart van wie uw DNS, website en e-mail werkelijk runt. Beide zijn informatief in onze scoring — ze bewegen uw cijfer niet — maar ze beschrijven hoe blootgesteld uw origin-server is aan aanval en storing, en hoe verstrengeld uw providers zijn. Een schild ervoor en een verstandig gesplitste set providers is hoe veerkrachtige bedrijven eruitzien.

De kern voor je bedrijf: Een website zonder schild ervoor vangt elke aanval en elke verkeerspiek rechtstreeks op de origin-server op — dus een botvloed, een lanceringspiek, of één geautomatiseerde aanval kan u urenlang offline halen, en het herstel ligt bij u. Een CDN/WAF ervoor zetten (gratis abonnement beschikbaar) filtert het overgrote deel van de geautomatiseerde aanvallen, vangt pieken op, en versnelt de site wereldwijd — doorgaans een middagje werk voor uw IT'er, zonder licentiekosten. Apart: als uw DNS, website en e-mail allemaal bij één provider leven, haalt één storing of inbreuk daar uw hele online aanwezigheid tegelijk neer; uw providerkaart kennen is het eerste wat u nodig heeft bij een incident. Geen van beide checks verandert uw cijfer — maar beide beschrijven reële blootstelling aan downtime, gemiste omzet en een traag, pijnlijk herstel.

Wat dit je kan kosten

• Een uitbarsting botverkeer of een kleine DDoS treft uw onbeschermde server op de ochtend van een grote actie — de site kruipt of valt om, klanten krijgen fouten bij het afrekenen, en u verliest de dagomzet terwijl uw host worstelt. Een CDN/WAF ervoor had het opgevangen.
• Uw DNS, website en e-mail lopen allemaal via één provider; die provider heeft een storing en uw site, uw boekingssysteem ÉN uw e-mail gaan op hetzelfde moment op zwart — u kunt niet eens „we zijn op de hoogte van het probleem” sturen omdat de mailbox ook plat ligt.
• Een geautomatiseerde aanval onderzoekt uw site de hele nacht — SQL-injectie- en inlog-raadscripts die rechtstreeks op uw origin hameren omdat er geen firewalllaag is om ze te filteren — en u komt er pas achter wanneer er iets breekt. Een WAF blokkeert het grootste deel van die ruis nog voor het uw code bereikt.
• Een incident slaat toe en niemand kan de basisvraag beantwoorden „wie bellen we eigenlijk?” — staat de website op dezelfde host als e-mail? Wie runt de DNS? Uren lekken weg met enkel het in kaart brengen van het leidingwerk terwijl de site plat blijft.
• Het IT-team van een prospect scant u vóór ondertekening en ziet een kale origin-server zonder CDN/WAF en een lekkende server-versieheader die precies adverteert welke software (en versie) u draait — een klein „deze mensen hebben de basis niet verhard”-signaal op het slechtst denkbare moment.

Waarom het ertoe doet. Beide checks hier zijn informatief in onze methodologie — ze zijn geregistreerd met nul punten en veranderen uw cijfer nooit — omdat ze uw infrastructuur beschrijven in plaats van een pass/fail-securitybesturing te testen. We brengen ze naar voren omdat ze reële bedrijfsblootstelling in kaart brengen. Een site zonder CDN/WAF vangt elke aanval en verkeerspiek rechtstreeks op de origin op, zonder filtering en zonder piekabsorptie; er een toevoegen (het gratis abonnement van Cloudflare is de gangbare route) is een van de meest hefboomrijke, goedkoopste veerkrachtupgrades die een klein bedrijf kan doen. En een heldere providerkaart — weten of uw DNS, web en e-mail gesplitst of gestapeld zijn bij één provider — is het eerste wat u nodig heeft wanneer er iets misgaat, en het verschil tussen een ingedamd incident en een totale blackout.

Wat dit is, in gewone woorden

Elke website draait op een server ergens. De vraag die deze pagina beantwoordt is: wat staat er tussen het open internet en die server — en wie runt eigenlijk de stukken van uw online aanwezigheid?

Er zijn twee delen:

1. CDN / WAF — het schild ervoor. Een CDN (Content Delivery Network) is een wereldwijd netwerk dat vóór uw site zit, uw inhoud snel aan bezoekers overal serveert, en verkeerspieken opvangt. Een WAF (Web Application Firewall) is een filter dat binnenkomende verzoeken inspecteert en de kwaadaardige blokkeert voor ze uw server bereiken. De populaire diensten (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri, en andere) bundelen deze samen. We kijken naar de responses van uw site en rapporteren of we een schild ervoor kunnen zien — en we noteren ook welke webserver u draait.

2. Hosting / providerkaart — wie uw leidingwerk runt. We lezen de publieke records die zeggen wie uw DNS afhandelt (de gids die uw domein in een adres omzet), en wie uw e-mail afhandelt. Daaruit kunnen we zien of uw DNS, website en e-mail over providers gesplitst zijn (veerkrachtig) of op één gestapeld (handig, maar een single point of failure).

Het belangrijkste om vooraf te weten: in onze scoring zijn beide informatief. Ze raken uw cijfer niet. We brengen ze naar voren omdat ze beschrijven hoe blootgesteld uw bedrijf is aan downtime en aanval — wat een andere, en zeer praktische, vraag is dan het cijfer.

Wat dit u kan kosten

Dit zijn geen abstracte risico’s — het zijn de alledaagse manieren waarop een onbeschermde, verstrengelde opzet een klein probleem in een slechte dag verandert.

• Offline geslagen op de dag dat het er het meest toe doet. Uw site zit op de origin-server met niets ervoor. Op de ochtend van een lancering of actie schiet het verkeer omhoog — of een bescheiden botvloed treft toe — en de server kan het niet aan. Pagina’s lopen vast, het afrekenen geeft fouten, en u verliest de dagomzet terwijl uw host blust. Een CDN vangt pieken op en een WAF filtert het rommelverkeer; samen zijn ze het verschil tussen „drukke dag” en „de hele ochtend plat”.

• Alles tegelijk op zwart. Uw DNS, website en e-mail lopen allemaal via één provider. Die provider heeft een storing (overkomt ze allemaal vroeg of laat) en uw site, uw boekingssysteem en uw e-mail verdwijnen tegelijk. U kunt geen bestellingen verwerken, en u kunt klanten niet eens mailen om te zeggen dat u op de hoogte bent — want de mailbox ligt ook plat. Providers splitsen betekent dat één storing ingedamd is, niet totaal.

• Uw code vangt elke aanval rechtstreeks op. Zonder WAF treft elk geautomatiseerd onderzoek — injectiepogingen, inlog-raden, bekende-exploitscanners — uw applicatiecode zonder filtering. U wedt dat uw software foutloos en volledig gepatcht is, voor altijd. Een WAF blokkeert de overgrote meerderheid van die geautomatiseerde ruis voor die u bereikt, en verandert „constante achtergrondaanval” in „grotendeels gefilterd”.

• Een traag, paniekerig incident omdat niemand de kaart heeft. Er breekt iets en het eerste uur gaat verloren aan „wacht, wie runt onze DNS? Staat e-mail op dezelfde host? Wie bellen we?” Wanneer uw providerkaart onduidelijk is, begint elk incident vanaf nul. De kaart vooraf kennen verandert een chaos in een telefoontje.

• Een slechte eerste indruk bij een zorgvuldige koper. Het IT-team van een prospect scant u vóór ondertekening en ziet een kale origin zonder CDN/WAF — en een serverheader die openlijk uw exacte software en versie adverteert. Het is een klein signaal, maar het zet u in de kolom „heeft de basis niet verhard” op precies het verkeerde moment.

Wat het feitelijk is

CDN / WAF — de beschermende laag

Wanneer een bezoeker (of een aanvaller) uw site opvraagt, kan het verzoek ofwel rechtstreeks naar uw origin-server gaan, ofwel eerst door een CDN/WAF. Is er een schild ervoor, dan kan dat schild:

• Kwaadaardige verzoeken filteren (het WAF-deel): injectiepogingen, botaanvallen en bekende exploitpatronen blokkeren voor ze ooit uw code bereiken.
• Verkeer opvangen (het CDN-deel): gecachete inhoud serveren vanaf servers dicht bij elke bezoeker en pieken opvangen, zodat een piek — legitiem of vijandig — uw origin niet verplettert.
• De site versnellen: inhoud geleverd vanaf een nabije edge-server laadt sneller voor bezoekers wereldwijd.

We detecteren een schild door te kijken naar de vingerafdrukken die deze diensten in de response-headers van uw site achterlaten — bijvoorbeeld een cf-ray-header (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai), of x-sucuri-id (Sucuri). We lezen ook de Server-header om uw onderliggende webserver te identificeren (nginx, Apache, IIS, LiteSpeed, Caddy, enzovoort), en markeren elke X-Powered-By-header die te veel deelt.

Hoe „goed” eruitziet: een CDN/WAF gedetecteerd vóór uw origin, en een Server-header die geen specifiek versienummer adverteert.

Hosting / providerkaart — uw infrastructuurafhankelijkheden

Uw domein wijst stilletjes naar diverse verschillende diensten:

• DNS — de gids die uwbedrijf.com in het werkelijke serveradres omzet. We lezen uw nameserver-(NS-)records en herkennen gangbare providers (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode, en regionale registrars daaronder).
• E-mail — waar uw post wordt afgehandeld. We lezen uw MX-records en herkennen gangbare providers (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho, en andere).

Hieruit kunnen we zien of deze verantwoordelijkheden gesplitst zijn over providers (een storing in de ene haalt de andere niet neer) of gestapeld op één provider (handig, maar één storing of inbreuk haalt alles neer).

Hoe „goed” eruitziet: ten minste DNS bij een aparte, betrouwbare provider in plaats van gebundeld in hetzelfde account als al het andere — zodat de gids van uw domein niet hetzelfde lot deelt als uw website en inbox.

Hoe los je het op (gratis, ~1 middag)

Geef dit aan uw IT’er of webontwikkelaar — de oplossing is gratis. Een CDN/WAF vóór uw site zetten kost niets op de gangbare gratis abonnementen, en uw serverversie onderdrukken is een instelling van één regel. Er is geen licentie te kopen. (Betaalde opties hier zijn alleen monitoring, portefeuillebewaking en audits — nooit de oplossing zelf.) De enige beslissing voor de eigenaar is: ja, zet een schild vóór de site.

Omdat beide checks informatief zijn, is niets hiervan gescoord — maar een CDN/WAF is een van de veerkrachtupgrades met de hoogste waarde die een klein bedrijf kan doen, dus het is de moeite waard.

1. Zet een CDN/WAF vóór uw site

De meest gangbare, gratis route is Cloudflare:

1. Maak een gratis Cloudflare-account en voeg uw domein toe.
2. Cloudflare leest uw bestaande DNS-records; controleer of ze correct zijn geïmporteerd.
3. Wijzig de nameservers van uw domein (bij uw registrar) naar de twee die Cloudflare u geeft. Dit is de schakelaar die verkeer door Cloudflare leidt.
4. Stel de SSL/TLS-modus in op Full (strict) zodat versleuteling end-to-end blijft tussen bezoeker → Cloudflare → uw origin. (Vermijd „Flexible”, dat het laatste stuk onversleuteld laat.)
5. Het CDN en een basis-WAF zijn nu actief. U kunt WAF-regels later bijstellen, maar de standaarden filteren al veel.

Andere routes, afhankelijk van uw stack:

• AWS CloudFront — maak een distributie die naar uw origin wijst; combineer met AWS WAF voor filtering. Het best als u al op AWS zit.
• Sucuri WAF — DNS-gebaseerd, vereist geen wijzigingen op uw server; goed als u de origin niet kunt aanraken.
• Fastly / Akamai — CDN’s/WAF’s van enterprise-niveau, doorgaans voor grotere of drukkere sites.

Test na het overzetten de site, bevestig dat HTTPS overal werkt, en kijk er een dag naar. Cache geen pagina’s agressief die persoonlijk of live moeten blijven (ingelogde omgevingen, winkelmandjes, afrekenpagina’s).

2. Stop met uw serverversie adverteren

Of u nu een CDN toevoegt of niet, onderdruk de versie die uw server aankondigt — het is gratis informatie die u aanvallers toesteekt.

Nginx:

server_tokens off;

Apache (in de hoofdconfig):

ServerTokens Prod
ServerSignature Off

Verwijder een te veel delende X-Powered-By-header (bijv. van PHP of een app-framework) op server- of CDN-niveau — op Cloudflare kunt u hem strippen met een response-header-transformregel.

3. Doe een sanity-check van uw providerkaart (optioneel, ~10 minuten)

Kijk waar uw DNS, website en e-mail werkelijk leven:

• Zitten alle drie in één provideraccount, overweeg dan ten minste DNS naar een aparte provider te verhuizen (de DNS van Cloudflare is gratis en snel). Die ene splitsing betekent dat de gids van uw domein een hostingstoring overleeft.
• Schrijf de kaart op — DNS-provider, webhost, e-mailprovider, registrar, en het login-/supportcontact voor elk. Deze ene pagina is het nuttigste wat u tijdens een incident voor u kunt hebben.

Platformnotities

• Google Workspace / Microsoft 365: dit zijn uw e-mailproviders, niet uw website. Een CDN/WAF vóór de website zetten raakt e-mail niet, en andersom — het zijn aparte beslissingen. (E-mail bij Google/Microsoft en de website achter Cloudflare is een prima, bewust gesplitste opzet.)
• Beheerde sitebouwers (Wix, Squarespace, Shopify): deze omvatten hun eigen CDN en een mate van WAF-bescherming als deel van het platform, dus u bent mogelijk al beschermd ook al benoemt onze headercheck geen provider. U kunt meestal niet uw eigen Cloudflare ervoor zetten; dat is prima — het platform regelt het.
• WordPress op uw eigen hosting: ideale kandidaat voor een gratis Cloudflare-laag ervoor. Combineer het met de firewall van een securityplugin voor regels op applicatieniveau.

Veelgemaakte fouten

• Een kale origin draaien „omdat de site klein is”. Kleine sites worden getroffen door dezelfde geautomatiseerde aanvallen en botvloeden als grote — de bots controleren uw omzet niet eerst. Het gratis CDN/WAF-abonnement bestaat juist voor kleine sites; het niet gebruiken is een makkelijke winst op tafel laten liggen.
• Cloudflare „Flexible” SSL gebruiken. Het toont een hangslot maar laat de verbinding tussen Cloudflare en uw origin onversleuteld. Gebruik altijd Full (strict) zodat het end-to-end versleuteld is.
• De verkeerde dingen cachen. Ingelogde pagina’s, winkelmandjes of afrekenpagina’s agressief cachen kan de ene klant de inhoud of verouderde prijzen van een andere tonen. Cache statische inhoud; laat gepersonaliseerde en transactionele pagina’s ongecachet.
• Alles op één provider stapelen zonder het te beseffen. Gemak is prima als het een bewuste keuze is — maar veel bedrijven ontdekken pas dat DNS, web en e-mail één account delen tijdens de storing die alle drie neerhaalt. Maak het een beslissing, geen ontdekking.
• De serverversie zichtbaar laten. Het is een gratis verhardingsstap van één regel die makkelijk te vergeten is. Zet hem uit.

Een noot over het cijfer

Om het volkomen duidelijk te stellen: geen van deze checks raakt uw cijfer. Ze zijn in onze methodologie geregistreerd als informatief, met nul punten, en we straffen u nooit voor een onbeschermde origin of een opzet met één provider. We rapporteren ze omdat ze reële blootstelling aan downtime, aanval en traag incidentherstel beschrijven — en omdat een gratis CDN/WAF toevoegen een van de upgrades met de beste waarde is die een klein bedrijf kan doen. Doet u hier niets, dan is uw cijfer onveranderd. Zet u een schild vóór uw site en splitst u uw DNS af, dan heeft u het bedrijf betekenisvol veerkrachtiger gemaakt, gratis. Dat is de juiste manier om deze pagina te lezen: geen getal om te verdedigen, maar een veerkrachtupgrade die het nemen waard is.

Veelgestelde vragen