Kort antwoord: wordPress beveiligen tegen hackers: de essentiële beveiligingsstappen

WordPress beveiligen begint met de basis op orde: gebruik sterke, unieke wachtwoorden, zet tweestapsverificatie (2FA) aan en houd WordPress, je thema's en plugins altijd up-to-date. Daarnaast helpt het om WordPress beveiligen te combineren met een firewall, dagelijkse backups en goed ingestelde gebruikersrechten. Verwijder ongebruikte plugins en accounts en beperk het aantal mensen met beheerdersrechten. Met deze maatregelen blokkeer je veruit de meeste geautomatiseerde aanvallen. Een beveiligingsplugin en een betrouwbare hostingpartij maken het geheel af.

Inhoudsopgave

Waarom WordPress een doelwit is

WordPress draait wereldwijd op een groot deel van alle websites. Die populariteit maakt het een aantrekkelijk doelwit. De meeste aanvallen zijn niet persoonlijk. Het zijn geautomatiseerde scripts die het hele internet afzoeken naar sites met een zwak wachtwoord, een verouderde plugin of een openstaand inlogscherm.

Goed nieuws: juist omdat die aanvallen geautomatiseerd zijn, hou je de meeste buiten de deur met een paar concrete maatregelen. Je hoeft geen IT'er te zijn. Je moet alleen weten waar je op moet letten. In dit artikel lopen we de stappen langs die voor een MKB-site echt verschil maken.

Wil je breder begrijpen hoe WordPress technisch in elkaar zit? Lees dan ook onze WordPress techniek uitgelegd: de complete gids voor MKB-ondernemers.

Begin met sterke logins

De voordeur van je site is het inlogscherm. Daar gaat het bij de meeste hacks mis. Een zwak wachtwoord zoals 'welkom123' of de gebruikersnaam 'admin' is binnen seconden te raden door een script.

  • Gebruik een uniek wachtwoord van minimaal 16 tekens met hoofdletters, cijfers en symbolen.
  • Vermijd de gebruikersnaam 'admin'. Maak een eigen beheerdersnaam aan en verwijder het oude admin-account.
  • Gebruik een wachtwoordmanager zoals Bitwarden of 1Password, zodat je per site een ander wachtwoord hebt.
  • Verander de standaard inlog-URL (/wp-admin) niet als vervanging voor echte beveiliging, maar als extra laag mag het.
Inlogscherm met sterk wachtwoord en wachtwoordmanager voor een veilige WordPress-login

Zet tweestapsverificatie (2FA) aan

Met tweestapsverificatie heb je naast je wachtwoord een tweede code nodig om in te loggen. Die code komt uit een app op je telefoon, bijvoorbeeld Google Authenticator of Authy. Zelfs als iemand je wachtwoord steelt, komt diegene zonder die code niet binnen.

2FA instellen kost vijf minuten. Plugins als Wordfence Login Security en miniOrange bieden het gratis aan. Zet het minstens aan voor alle accounts met beheerdersrechten. Voor een webshop is dit geen luxe maar een basisvereiste, want daar staan klantgegevens en bestellingen op het spel.

Houd alles up-to-date

Verouderde software is de meest voorkomende oorzaak van gehackte WordPress-sites. Ontwikkelaars dichten beveiligingslekken met updates. Zolang je die niet installeert, blijft het gat openstaan en weten aanvallers dat precies.

Update daarom regelmatig drie dingen: de WordPress-kern zelf, je actieve thema en al je plugins. Op WordPress.org zie je welke versies actueel zijn. Zet kleine, automatische updates aan en controleer minstens eens per week of er grotere updates klaarstaan.

Doe een grote update bij voorkeur niet blind op je live site. Test eerst in een testomgeving of maak vooraf een backup, zodat je terug kunt als iets breekt.

Ruim ongebruikte plugins en thema's op

Elke plugin en elk thema is een mogelijke ingang. Hoe meer je er hebt, hoe groter de kans op een lek. Veel sites slepen plugins mee die ze ooit één keer testten en nooit verwijderden.

Loop je plugin-lijst eens per kwartaal door. Deactiveer en verwijder wat je niet gebruikt. Let ook op plugins die al meer dan een jaar geen update kregen. Die worden vaak niet meer onderhouden en vormen een risico. Kies bij voorkeur plugins met veel actieve installaties en recente updates.

Installeer een firewall en beveiligingsplugin

Een firewall filtert verdacht verkeer voordat het je site bereikt. Het blokkeert bekende aanvalspatronen en IP-adressen die spam of brute-force pogingen versturen. Voor WordPress regel je dit meestal met een plugin.

Veelgebruikte beveiligingsplugins zijn Wordfence, Sucuri en Solid Security. De gratis versies bieden al een firewall, scans op malware en een limiet op het aantal mislukte inlogpogingen. Premium-versies kosten grofweg 100 tot 300 euro per jaar en voegen onder meer realtime updates en geavanceerde firewallregels toe.

Een goede hostingpartij heeft vaak al een firewall op serverniveau draaien. Vraag dit na bij je host. Twee lagen, op de server en in WordPress zelf, geven de beste bescherming.

Dagelijkse automatische backups van een WordPress-site naar cloudopslag

Maak dagelijks backups

Backups voorkomen geen hack, maar redden je als het toch misgaat. Met een recente backup zet je je site binnen een uur terug in plaats van dat je dagen kwijt bent aan herstel of opnieuw opbouwen.

Stel automatische, dagelijkse backups in en bewaar die op een externe locatie, niet alleen op dezelfde server als je site. Plugins als UpdraftPlus regelen dit en zetten je backup automatisch op Google Drive of Dropbox. Test minstens één keer of je een backup ook daadwerkelijk kunt terugzetten. Een backup die je nooit hebt getest, geeft schijnzekerheid.

Beperk gebruikersrechten

Niet iedereen die aan je site werkt heeft beheerdersrechten nodig. WordPress kent verschillende rollen, en hoe minder mensen volledige toegang hebben, hoe kleiner het risico.

Geef een tekstschrijver de rol 'auteur' of 'redacteur', niet 'beheerder'. Een ingehuurde freelancer geef je tijdelijke toegang die je daarna weer intrekt. Loop je gebruikerslijst regelmatig na en verwijder accounts van mensen die niet meer betrokken zijn.

  • Beheerder: volledige controle, alleen voor jou en eventueel je vaste partij.
  • Redacteur: kan alle content beheren, maar geen instellingen of plugins.
  • Auteur: kan eigen berichten maken en publiceren.
  • Abonnee: kan alleen het eigen profiel beheren.

Kies een betrouwbare host en HTTPS

Je hosting is het fundament onder je beveiliging. Goedkope, overvolle servers delen ruimte met honderden andere sites, wat het risico vergroot. Een host die specifiek op WordPress is ingericht houdt de serversoftware up-to-date en biedt vaak ingebouwde firewalls en backups.

Zorg ook dat je site volledig op HTTPS draait, herkenbaar aan het slotje in de adresbalk. Een SSL-certificaat is bij de meeste hosts gratis via Let's Encrypt. Zonder HTTPS worden ingevoerde gegevens onversleuteld verstuurd, en dat is zeker voor een webshop onacceptabel.

Twijfel je of WordPress wel het juiste platform is voor jouw situatie? Vergelijk dan eerst de opties in WordPress vs Wix vs Squarespace.

WordPress beveiligen als doorlopend onderhoud

Beveiliging is geen eenmalige klus die je afvinkt. Het is onderhoud dat je terug laat komen. Plan elke maand een vast moment om updates te doen, backups te controleren en je gebruikerslijst na te lopen.

Heb je daar geen tijd of zin in? Dan kun je het uitbesteden. Bij Bright Brands zit WordPress beveiligen standaard in onze onderhoudsabonnementen, met updates, monitoring en dagelijkse backups. Zo blijft je site veilig zonder dat je er zelf wekelijks omkijken naar hebt. Wat een WordPress-site kost, lees je in Wat kost een WordPress website?.

Veelgestelde vragen

Hoeveel kost het om WordPress goed te beveiligen?

De basis kun je gratis regelen met sterke wachtwoorden, 2FA en gratis plugins zoals Wordfence en UpdraftPlus. Wil je premium-functies, dan reken je grofweg 100 tot 300 euro per jaar voor een beveiligingsplugin. Een onderhoudsabonnement bij een bureau begint vaak rond 50 tot 100 euro per maand.

Wat is de belangrijkste stap om mijn WordPress-site te beveiligen?

Updates installeren is de belangrijkste stap. Verouderde plugins en een verouderde WordPress-kern zijn de meest voorkomende oorzaak van hacks. Combineer dit met een sterk wachtwoord en 2FA, dan hou je de meeste geautomatiseerde aanvallen al buiten.

Heb ik een beveiligingsplugin nodig of doet mijn host dat al?

Een goede host beveiligt op serverniveau, maar dat dekt niet alles binnen WordPress zelf. Een beveiligingsplugin voegt een firewall, malwarescans en een inloglimiet toe op het niveau van je site. Twee lagen geven de beste bescherming, dus beide is aan te raden.

Wat moet ik doen als mijn WordPress-site toch gehackt is?

Zet meteen een schone backup van vóór de hack terug en wijzig daarna alle wachtwoorden. Scan je site op malware met een plugin zoals Wordfence en update alles. Lukt het herstellen niet zelf, schakel dan een specialist in voordat je site verder besmet raakt of geblokkeerd wordt.

Hoe vaak moet ik backups maken?

Voor de meeste sites volstaat een dagelijkse automatische backup. Heb je een webshop met veel bestellingen, overweeg dan vaker, bijvoorbeeld elk uur. Bewaar backups op een externe locatie en test minstens één keer of je ze ook echt kunt terugzetten.

Is 2FA echt nodig voor een kleine bedrijfssite?

Ja. Geautomatiseerde aanvallen maken geen onderscheid tussen grote en kleine sites. 2FA kost vijf minuten om in te stellen en blokkeert vrijwel alle pogingen waarbij iemand met een gestolen wachtwoord probeert in te loggen. Voor elk beheerdersaccount is het de moeite waard.