WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

Welke beveiligingsheader moet ik het eerst uitrollen?

Begin met de veiligste baseline: X-Content-Type-Options, een bewust Referrer-Policy, veilige cookievlaggen en een gefaseerde CSP-uitrol. HSTS is krachtig maar moet pas worden afgedwongen als HTTPS overal stabiel is waar u het nodig heeft.

Kan een sterk CSP applicatiebeveiligingstests vervangen?

Nee. CSP vermindert het uitvoeringsrisico aan de browserzijde, maar vervangt geen codereviews, afhankelijkheidshygiene, DAST, authenticatiecontroles of remediatieworkflows.

Moeten MKB-bedrijven zich druk maken over Permissions-Policy?

Ja. Zelfs eenvoudige websites profiteren van het expliciet uitschakelen van browsermogelijkheden die ze niet gebruiken. Het is een goedkope manier om onnodige blootstelling te verminderen.

Hoe vaak moeten headers opnieuw worden gecontroleerd?

Controleer ze opnieuw na deployments, wanneer scripts van derden veranderen en volgens een terugkerend monitoringschema. De headerhouding drijft stilletjes af in de loop van de tijd als niemand er verantwoordelijk voor is.

Beveiligingsheaders Checklist — Productie-baseline voor MKB

Waarom beveiligingsheaders nog steeds onmisbaar zijn

Beveiligingsheaders zijn een van de weinige hardening-controles die uw baseline onmiddellijk verbeteren zonder uw product te herschrijven. Ze vertellen de browser hoe uw pagina's, cookies, framingbeleid en regels voor het laden van externe bronnen moeten worden behandeld.

Voor MKB-bedrijven zijn headers bijzonder waardevol omdat ze hele categorieen veelvoorkomende fouten verminderen bij snelle productiteratie: permissieve framing, gemengde content, zwakke cookie-instellingen, onbedoelde scriptopname en ongecontroleerde integraties van derden. Ze vervangen geen veilige code, maar ze verkleinen de impactradius wanneer iets doorheen glipt.

Het operationele doel is niet om een perfecte score op een publieke benchmark na te jagen. Het doel is een kleine, stabiele header-baseline te onderhouden die bij uw stack past, deployments overleeft en continu wordt geverifieerd in plaats van eenmalig geconfigureerd en vergeten.

Aanbevolen productie-baseline

Een solide MKB-baseline begint met een korte set headers die elk een duidelijk operationeel doel hebben. Houd het beleid begrijpelijk voor uw team en versiebeheer het zoals elke andere productieconfiguratie, zodat wijzigingen worden beoordeeld en teruggedraaid kunnen worden.

Content-Security-Policy: script-, stijl-, connect-, afbeelding- en framebronnen beperken tot bekende oorsprongen, dan geleidelijk aanscherpen.
Strict-Transport-Security: HTTPS afdwingen met een lange max-age pas nadat u zeker weet dat elk subdomein veilig HTTPS kan serveren.
X-Content-Type-Options: nosniff: MIME-verwarring voor scripts en stijlen voorkomen.
Referrer-Policy: onnodige gegevenslekken verminderen terwijl gerechtvaardigde analytics-gebruiksscenario's behouden blijven.
Permissions-Policy: browsermogelijkheden uitschakelen die u niet expliciet nodig heeft, zoals camera, microfoon, geolocatie of interest-cohort-achtige functies.
Set-Cookie-vlaggen: Secure, HttpOnly en SameSite gebruiken met expliciete intentie voor sessiecookies.
Framebescherming: frame-ancestors in CSP of X-Frame-Options gebruiken waar legacy-compatibiliteit vereist is.

Hoe headers uit te rollen zonder de productie te breken

De meest voorkomende fout is een ambitieus CSP in enforcement-modus uitrollen zonder te weten wat uw frontend daadwerkelijk laadt. Een veiliger uitrolpatroon is uw eigen en externe oorsprongen inventariseren, een report-compatibele versie in staging uitrollen, ruis elimineren en dan pas in productie afdwingen.

Behandel headers als een applicatiecontract. Als marketingscripts, analytics, chatwidgets, betalingsproviders of AI-leveranciers worden geintroduceerd, moet de header-baseline in dezelfde wijziging worden beoordeeld. Anders ontstaat een cyclus waarin functies het beleid stilletjes verzwakken en niemand weet wie verantwoordelijk is voor de regressie.

Het is ook belangrijk om publieke pagina's te onderscheiden van geauthenticeerde oppervlakken. Uw dashboard, marketingsite, authenticatiestroom en bestandsdownload-endpoints hebben mogelijk iets andere beleidsregels nodig. Een enkel gekopieerd headerblok over alle routes heen is vaak te grof en veroorzaakt ofwel breuk ofwel ongerechtvaardigde uitzonderingen.

Wat continu te verifieren

Validatie moet aanwezigheid, syntaxis en zakelijke relevantie dekken. Een CSP-header hebben is niet genoeg als deze overal wildcardbronne bevat. HSTS hebben is niet genoeg als redirects nog via HTTP lopen of kritieke subdomeinen onbedoeld worden weggelaten.

WarDek is hier nuttig omdat het headers omzet in een operationeel signaal in plaats van een eenmalige screenshot. U kunt controleren of belangrijke headers ontbreken, regressies na deployments detecteren en de headerhouding verbinden met de rest van de website-baseline: TLS-kwaliteit, cookies, blootgestelde bestanden, CORS en compliance-bewijs.

De beste teams definieren eigenaarschap, documenteren uitzonderingen en houden een korte remediatiewachtrij bij. Een headerprobleem zou niet eindeloos in een generieke backlog moeten blijven. Het zou een eigenaar, een reden, een doelfix en een validatiestap na deployment moeten hebben.

Veelvoorkomende fouten die teams moeten vermijden

Optimaliseer niet alleen voor ijdelheidscijfers. Sommige publieke scanners belonen agressieve instellingen die uw zakelijke beperkingen niet weerspiegelen. Uw missie is een duurzaam beleid dat uw team begrijpt en kan onderhouden.

Vermijd unsafe-inline en unsafe-eval in CSP tenzij u een transitieplan heeft om ze te verwijderen. Als u ze tijdelijk moet behouden, documenteer waarom, waar en voor hoe lang. Hetzelfde geldt voor brede connect-src- of frame-src-toestemmingen voor tools van derden die niemand recent heeft beoordeeld.

Onthoud ten slotte dat headers deel uitmaken van een bredere vertrouwenshouding. Ze ondersteunen veilig browsen, maar vervangen geen patching, toegangscontrole, monitoring, veilige ontwikkelpraktijken of compliance-bewijs. Beschouw ze als een basiscontrole die continu moet worden geverifieerd en duidelijk moet worden uitgelegd aan niet-specialisten.