Kort antwoord: wordPress website beveiligen tegen hackers: een praktische checklist

WordPress beveiligen begint met de basis: houd WordPress, je thema en plugins altijd up-to-date, gebruik sterke wachtwoorden en zet tweestapsverificatie aan. Wil je WordPress beveiligen tegen brute-force-aanvallen, dan beperk je het aantal inlogpogingen en verberg je de standaard inlogpagina. Voeg een firewall (WAF) toe via een plugin of je hostingpartij, maak dagelijkse back-ups en geef gebruikers alleen de rechten die ze echt nodig hebben. Met deze maatregelen voorkom je de meeste aanvallen die geautomatiseerd op duizenden sites tegelijk worden uitgevoerd.

Inhoudsopgave

Waarom juist WordPress vaak een doelwit is

WordPress draait wereldwijd op meer dan 40 procent van alle websites. Dat maakt het populair, maar ook een interessant doelwit. Hackers zoeken niet specifiek jouw bedrijf uit. Ze gebruiken geautomatiseerde scripts (bots) die het hele internet afzoeken naar sites met een verouderde plugin of een zwak wachtwoord.

De meeste aanvallen zijn dus niet persoonlijk. Een bot probeert duizenden sites tegelijk en pakt de zwakste schakel. Een verouderde plugin uit 2023 die je nooit hebt bijgewerkt, is precies zo'n schakel. Het goede nieuws: met een paar concrete maatregelen sluit je 90 procent van die geautomatiseerde aanvallen buiten.

Deze checklist hoort bij onze WordPress onderhoud: de complete gids voor MKB-ondernemers, waarin we alle onderhoudstaken op een rij zetten. Hier richten we ons puur op beveiliging.

Houd alles up-to-date: de belangrijkste maatregel

De meeste gehackte WordPress-sites zijn niet gekraakt via een ingenieuze truc, maar via een bekende kwetsbaarheid in een verouderde plugin of thema. Zodra een lek bekend wordt, weten ook de hackers ervan. Updates dichten die gaten.

Werk daarom regelmatig bij:

  • De WordPress-kern zelf (zie WordPress.org voor de actuele versie)
  • Alle plugins, ook de plugins die je nauwelijks gebruikt
  • Je actieve thema en eventueel een child-thema
  • PHP, de programmeertaal waarop WordPress draait, via je hostingpartij

Verwijder wat je niet gebruikt

Elke plugin en elk thema dat je hebt geïnstalleerd is een mogelijke ingang, ook als het uit staat. Een gedeactiveerde plugin krijgt vaak geen updates meer en blijft een risico.

Loop je installaties één keer per kwartaal door en verwijder alles wat je niet actief gebruikt. Heb je drie thema's staan maar gebruik je er één? Gooi de andere twee weg. Hoe minder code op je site, hoe minder er kapot kan.

WordPress beveiligen tegen brute-force-aanvallen

Bij een brute-force-aanval probeert een bot keer op keer in te loggen met steeds een ander wachtwoord, soms duizenden pogingen per minuut. Lukt het, dan heeft de aanvaller volledige toegang. Dit is een van de meest voorkomende aanvallen, en juist heel eenvoudig tegen te houden.

Neem deze stappen:

  • Gebruik nooit 'admin' als gebruikersnaam. Maak een eigen accountnaam aan
  • Stel een wachtwoord in van minstens 16 tekens met cijfers, letters en symbolen
  • Zet tweestapsverificatie (2FA) aan, bijvoorbeeld met een app als Google Authenticator
  • Beperk het aantal inlogpogingen tot bijvoorbeeld 5 per IP-adres
  • Verberg of verplaats de standaard inlogpagina (wp-login.php)

Tweestapsverificatie loont de moeite

Met tweestapsverificatie heb je naast je wachtwoord ook een code nodig die elke 30 seconden verandert op je telefoon. Zelfs als een hacker je wachtwoord raadt, komt hij er niet in.

Het kost je 10 minuten om in te stellen en bij het inloggen 5 seconden extra. Voor een zakelijke site is dit een van de beste investeringen in beveiliging die je kunt doen, en het is gratis.

Bescherm je tegen malware en kwetsbaarheden

Malware is kwaadaardige code die zich op je site nestelt. Bezoekers worden bijvoorbeeld doorgestuurd naar een spamsite, of je server wordt misbruikt om e-mails te versturen. Vaak merk je het pas als Google je site blokkeert of je hostingpartij je site offline haalt.

Een beveiligingsplugin zoals Wordfence of Sucuri scant je site op malware en blokkeert verdacht verkeer. De gratis versies dekken de basis. Wil je uitgebreide bescherming en automatische opschoning, dan betaal je voor zo'n dienst tussen de 100 en 200 euro per jaar.

Download plugins en thema's altijd uit officiële bronnen. Een 'gratis' premium-plugin van een onbekende site bevat regelmatig verborgen malware. Bouw je een webshop met WooCommerce, houd dan ook de WooCommerce-documentatie bij voor veilige instellingen rond betalingen en klantgegevens.

Zet een firewall (WAF) voor je site

Een Web Application Firewall (WAF) is een filter dat verkeer naar je site controleert voordat het je WordPress bereikt. Kwaadaardige verzoeken worden tegengehouden, legitieme bezoekers komen er gewoon door. Zie het als een portier die bekende lastpakken bij de deur weigert.

Je regelt een WAF op twee manieren:

  • Via een beveiligingsplugin zoals Wordfence (ingebouwde firewall)
  • Via een externe dienst zoals Cloudflare, waar een gratis plan vaak al voldoende is voor een MKB-site
Web Application Firewall filtert verkeer en houdt kwaadaardige verzoeken bij WordPress tegen

Vraag je hostingpartij wat al geregeld is

Veel goede hostingpakketten bevatten al een firewall, malwarescans en automatische back-ups. Het heeft geen zin om dubbele lagen te stapelen die met elkaar botsen.

Vraag je host concreet: is er een WAF actief, worden er dagelijks back-ups gemaakt en hoe lang worden die bewaard? Krijg je geen helder antwoord, dan is dat een teken dat je beveiliging zelf moet regelen of van host moet wisselen.

Maak dagelijks back-ups en test ze

Geen enkele beveiliging is 100 procent waterdicht. Wordt je site toch gehackt of gaat er iets mis bij een update, dan is een recente back-up het verschil tussen 10 minuten herstel en dagen werk.

Stel deze regels in voor je back-ups:

  • Maak minstens één keer per dag automatisch een back-up
  • Bewaar back-ups op een externe locatie, niet alleen op dezelfde server
  • Houd minimaal 7 tot 30 dagen aan back-ups beschikbaar
  • Test één keer per kwartaal of je een back-up daadwerkelijk kunt terugzetten

Geef gebruikers alleen de rechten die ze nodig hebben

WordPress kent verschillende gebruikersrollen: beheerder (Administrator), redacteur (Editor), auteur (Author) en abonnee (Subscriber). Een beheerder kan alles, inclusief plugins installeren en gebruikers verwijderen. Hoe meer beheerders je hebt, hoe groter het risico.

Geef iedereen de laagst mogelijke rol die het werk toelaat. Een collega die alleen blogartikelen schrijft, heeft genoeg aan de rol Auteur. Een externe partij die tijdelijk meekijkt, hoeft geen beheerder te zijn.

Loop je gebruikerslijst regelmatig door. Werkt er iemand niet meer voor je bedrijf? Verwijder het account direct. Oude, vergeten accounts met een zwak wachtwoord zijn een populaire ingang voor hackers.

Een korte checklist om mee te beginnen

Wil je vandaag nog aan de slag, werk dan deze lijst van boven naar beneden af. De eerste vier punten kosten je samen ongeveer een uur en dichten de grootste gaten.

  • Werk WordPress, thema en alle plugins bij naar de nieuwste versie
  • Zet tweestapsverificatie aan voor alle beheerders
  • Beperk het aantal inlogpogingen en verberg de inlogpagina
  • Installeer een beveiligingsplugin met firewall en malwarescan
  • Controleer dat er dagelijks een externe back-up wordt gemaakt
  • Verwijder ongebruikte plugins, thema's en gebruikersaccounts
  • Geef elke gebruiker de laagst mogelijke rol

Liever uitbesteden dan zelf bijhouden

Beveiliging is geen eenmalige klus maar doorlopend werk. Plugins krijgen elke week updates, en nieuwe kwetsbaarheden duiken voortdurend op. Voor veel MKB-ondernemers is het slim om dit uit te besteden aan een partij die het maandelijks bijhoudt.

Bij Bright Brands bouwen we maatwerk WordPress websites en verzorgen we het onderhoud, inclusief updates, back-ups en monitoring. Twijfel je of een nieuwe site voor jou de beste keuze is, lees dan ook ons artikel over template vs maatwerk website. Zo weet je waar je aan begint voordat je investeert in beveiliging.

Veelgestelde vragen

Hoe weet ik of mijn WordPress-site gehackt is?

Veelvoorkomende signalen zijn een trage site, onbekende beheerdersaccounts, doorverwijzingen naar vreemde websites en waarschuwingen van Google of je hostingpartij. Een beveiligingsplugin met malwarescan kan je site controleren en je per e-mail waarschuwen bij verdachte activiteit.

Wat kost het beveiligen van een WordPress-website?

De basismaatregelen zoals updates, sterke wachtwoorden en een gratis beveiligingsplugin kosten alleen je tijd. Wil je uitgebreide bescherming met automatische opschoning, dan betaal je voor een premium beveiligingsdienst doorgaans 100 tot 200 euro per jaar. Uitbesteden van het volledige onderhoud kost meestal een vast bedrag per maand.

Is een gratis beveiligingsplugin genoeg?

Voor de meeste kleine zakelijke sites dekt een gratis plugin zoals Wordfence de basis: firewall, malwarescan en blokkeren van brute-force-aanvallen. Heb je een webshop met klantgegevens of veel verkeer, dan is een betaalde versie of een externe firewall verstandig vanwege snellere updates en uitgebreidere bescherming.

Hoe vaak moet ik mijn WordPress-site updaten?

Controleer minstens één keer per week op updates voor de WordPress-kern, plugins en je thema. Beveiligingsupdates verschijnen onregelmatig en moet je zo snel mogelijk doorvoeren. Maak altijd eerst een back-up, zodat je kunt terugzetten als een update iets breekt.

Wat is het verschil tussen een firewall en een beveiligingsplugin?

Een firewall (WAF) filtert verdacht verkeer voordat het je site bereikt en houdt aanvallen aan de deur tegen. Een beveiligingsplugin doet vaak meer: het scant op malware, beheert inlogpogingen en bevat soms een ingebouwde firewall. In de praktijk gebruik je ze samen voor de beste bescherming.

Kan ik mijn site nog herstellen na een hack?

Ja, mits je een recente, schone back-up hebt. Je zet de back-up terug, wijzigt alle wachtwoorden en werkt vervolgens alles bij. Heb je geen back-up, dan moet de malware handmatig worden opgeschoond, wat tijdrovend is en geen garantie biedt dat alles weg is. Daarom is een dagelijkse back-up zo belangrijk.