Anno 2026 heeft AI het beveiligingslandschap volledig veranderd: Kwetsbaarheden worden sneller gevonden, geanalyseerd en misbruikt dan voorheen. Aanvallers kunnen dankzij AI sneller kwetsbare software herkennen, exploitcode aanpassen en grote aantallen systemen scannen.
Door gebruik van AI is de periode tussen het bekend worden van een kwetsbaarheid en actief misbruik zeer kort geworden: steeds vaker wordt al binnen enkele minuten na bekendmaking een kwetsbaarheid misbruikt. Een belangrijke vraag is dan ook: hoe houd je je server(s) veilig? In dit artikel leggen we uit wat de belangrijkste maatregelen zijn om je server(s) te beschermen tegen aanvallen door misbruik van kwetsbaarheden in software.
TL;DR: Update en herstart je VPS wekelijks, maak back-ups, pas hardening toe (zet uit wat niet nodig is, gebruik SSH keys, etc.).
De belangrijkste beveiligingsregel: update en herstart
De belangrijkste beveiligingsregel voor serverbeheer is eenvoudig: installeer updates regelmatig en herstart je server wanneer updates daarom vragen. Voor Linux-servers is dit vooral belangrijk na een kernelupdate. De kernel is het hart van het besturingssysteem. Wanneer er een nieuwe kernel wordt geïnstalleerd, wordt deze doorgaans pas actief nadat de server opnieuw is opgestart.
Voor Windows Server geldt hetzelfde principe. Veel Windows-updates vervangen onderdelen die tijdens het draaien van het systeem in gebruik zijn. Een herstart is dan nodig om de update volledig af te ronden en ervoor te zorgen dat de gepatchte onderdelen daadwerkelijk actief zijn.
Een server waarop updates wel zijn geïnstalleerd maar die daarna niet is herstart, kan daardoor nog steeds kwetsbare code gebruiken. Plan daarom niet alleen het installeren van updates, maar ook het moment waarop je de server veilig kunt rebooten.
Ons advies: update minimaal één keer per week
Wij adviseren om Linux-, BSD- en Windows-servers minimaal één keer per week te controleren op updates, deze te installeren en daarna te herstarten wanneer dat nodig is. Kies hiervoor een vast onderhoudsvenster, bijvoorbeeld buiten kantooruren of op een moment waarop de impact voor je gebruikers beperkt is.
Wacht bij kritieke kwetsbaarheden, actief misbruik of Remote Code Execution niet tot het reguliere onderhoudsvenster. In die gevallen is het verstandig om zo snel mogelijk te updaten.
Linux- en BSD-systemen updaten
Hieronder vind je voorbeelden voor veelgebruikte Linux- en BSD-systemen. Voer deze commando’s uit met een gebruiker die sudo-rechten heeft. Gebruik je een aangepaste configuratie of een productieomgeving, test updates dan eerst of plan ze binnen een onderhoudsvenster.
Debian en Ubuntu
sudo apt update
sudo apt full-upgrade -y
sudo rebootOp Debian- en Ubuntu-systemen kun je controleren of een herstart vereist is met:
test -f /var/run/reboot-required && echo "Herstart vereist" || echo "Geen herstart vereist gemeld"
AlmaLinux, Rocky Linux, CentOS Stream, RHEL en Fedora
sudo dnf upgrade --refresh -y
sudo rebootWil je controleren of een reboot nodig is, dan kun je op veel RPM-gebaseerde systemen gebruikmaken van needs-restarting:
sudo dnf install -y dnf-utils
sudo needs-restarting -r
openSUSE en SUSE Linux Enterprise
sudo zypper refresh
sudo zypper update -y
sudo rebootJe kunt controleren welke processen nog oude bestanden gebruiken met:
sudo zypper ps -s
Arch Linux
sudo pacman -Syu
sudo reboot
FreeBSD
Update het basissysteem en daarna de geïnstalleerde packages:
sudo freebsd-update fetch install
sudo pkg update
sudo pkg upgrade
sudo reboot
OpenBSD
Installeer beschikbare systeempatches en update packages:
sudo syspatch
sudo pkg_add -u
sudo reboot
Windows Server updaten en herstarten
Voor Windows Server raden we aan om Windows Update of Windows Server Update Services (WSUS) te gebruiken, afhankelijk van hoe je omgeving is ingericht. Installeer beveiligingsupdates minimaal wekelijks en plan daarna een herstart wanneer Windows aangeeft dat dit nodig is.
Microsoft brengt elke tweede dinsdag van de maand patches uit om bugs in Microsoft-systemen te patchen ("Patch Tuesday"). Voor kritieke kwetsbaarheden brengt Microsoft ook buiten deze cyclus om patches uit ("Out-of-bound").
Gebruik je PowerShell en is de module PSWindowsUpdate beschikbaar, dan kun je updates bijvoorbeeld als volgt installeren:
Install-WindowsUpdate -AcceptAll -AutoRebootGebruik -AutoReboot alleen wanneer je zeker weet dat een automatische herstart op dat moment geen ongewenste impact heeft. In productieomgevingen is het meestal beter om updates en herstarts binnen een gepland onderhoudsvenster uit te voeren, bijvoorbeeld kort na de updates van Patch Tuesday.
Controleer na de reboot of alles goed werkt
Controleer na het herstarten of de server correct is opgestart en of de belangrijkste services weer beschikbaar zijn. Denk bijvoorbeeld aan webservers, databases, mailservices, monitoring agents, back-uptools en applicaties die bedrijfskritisch zijn.
Op Linux kun je bijvoorbeeld de actieve kernelversie controleren met:
uname -rControleer daarnaast de status van services:
systemctl --failed
systemctl status nginx
systemctl status apache2
systemctl status mariadbPas de servicenamen zoals nginx aan naar de namen van de software die je daadwerkelijk gebruikt.
Vergeet applicaties buiten het besturingssysteem niet
Het updaten van het besturingssysteem is belangrijk, maar niet altijd voldoende. Veel aanvallen richten zich op applicaties die los van de pakketmanager worden beheerd, zoals CMS’en, plug-ins, thema’s, frameworks, control panels, Docker-images en handmatig geïnstalleerde software.
Controleer daarom ook regelmatig of deze onderdelen up-to-date zijn. Denk bijvoorbeeld aan WordPress, Joomla, Drupal, Magento, PHP-applicaties, Node.js-projecten, Python-omgevingen, containers en databasebeheertools.
Veel van deze systemen, bijvoorbeeld WordPress, hebben een ingebouwde optie om automatisch belangrijke beveilingsupdates te installeren.
Maak back-ups en/of snapshots
Updates verlopen meestal zonder problemen, maar het blijft verstandig om vooraf een herstelpunt te hebben. Maak daarom, zeker bij productieomgevingen, eerst een back-up of snapshot voordat je grote updates of kernelupdates uitvoert. Een overzicht van onze documentatie voor het gebruik van back-ups en snapshots vind je hier:
Alternatief kun je voor het maken van back-ups ook Acronis gebruiken, waarmee je aanzienlijk meer controle krijgt over de back-ups die je maakt en het herstellen van bestanden en mappen.
Bovendien kun je met Acronis ook gebruik maken van EDR (Endpoint Detection & Response) om je laptops, computers en servers automatisch te beveiligen tegen aanvallen.
Controleer tot slot of je weet hoe je de server kunt herstellen wanneer een update onverwacht problemen veroorzaakt. Denk hierbij aan toegang via de console, recente back-ups herstellen, etc.
Pas security hardening toe
Security hardening betekent simpel gezegd het verkleinen van de aanvalsoppervlakte. Hoe minder deuren er open staan, hoe kleiner de kans dat een aanvaller binnen komt, of in de eerste plaats al overweegt om je aan te vallen. In essentie komt security hardening neer op:
-
Zet uit wat niet nodig is: in Linux schakel je eenvoudig software uit met het commando
sudo systemctl disable softwarenaam(vervang softwarenaam door de daadwerkelijke naam van de betreffende software). - Gebruik veilige instellingen: denk hierbij aan het uitschakelen van root login op SSH, gebruik van SSH-keys, MFA op webapplicaties, etc. Tip: zie het overzicht van onze beveiligingsdocumentatie voor meer informatie over deze onderwerpen.
Maak kwetsbaarheden zichtbaar met monitoring en alerts
Een goed updateproces bestaat niet alleen uit patchen, maar ook uit signaleren. Richt monitoring in voor openstaande updates, benodigde herstarts en kwetsbaarheden in software die je gebruikt. Abonneer je daarnaast op security mailinglists of vulnerability alerts voor de producten die op je server draaien.
Gebruik waar mogelijk ook betrouwbare bronnen zoals vendor advisories, vulnerability databases en lijsten met actief misbruikte kwetsbaarheden. Zo kun je beter bepalen welke updates niet kunnen wachten tot het volgende wekelijkse onderhoudsvenster.
Hoe blijf je op de hoogte van belangrijke nieuwe kwetsbaarheden?
Er verschijnen dagelijks nieuwe kwetsbaarheden in besturingssystemen, libraries, webservers, databases, CMS’en, control panels en andere software. Daarom informeren wij klanten vooral over kwetsbaarheden met een grote impact, zoals Remote Code Execution (RCE), en over kwetsbaarheden die zodanig belangrijk zijn dat wij ook onze eigen infrastructuur hiervoor versneld updaten en waarvan wij inschatten dat de potentiele impact op onze klanten groot is.
In andere gevallen raden we aan om zelf actief op de hoogte te blijven van kwetsbaarheden in software die je op je server gebruikt. Je kunt bijvoorbeeld gebruikmaken van vulnerability databases en waarschuwingen, zoals mail alerts van VulDB, of vergelijkbare diensten die meldingen sturen op basis van leveranciers, producten of softwareversies.
Wanneer is een managed server verstandig?
Het veilig beheren van een server kost tijd, kennis en discipline. Je moet updates beoordelen, onderhoud plannen, back-ups controleren, kwetsbaarheden volgen en weten hoe je moet handelen wanneer er iets misgaat.
Is serverbeheer te complex, ontbreekt de kennis binnen je organisatie of heb je onvoldoende tijd om beveiligingsupdates structureel bij te houden? Dan raden we aan om te kiezen voor een managed serveroplossing. Daarmee besteed je een belangrijk deel van het technische beheer uit en verklein je de kans dat kritieke updates te lang blijven liggen.
Daarmee zijn we aan het eind gekomen van dit artikel over het veilig houden van je servers via updates en herstarts. Wil je meer weten over verschillende onderdelen van serverbeveiliging? Bekijk dan ook onze aanvullende documentatie over VPS-beveiliging.