Kort antwoord: wordPress website beveiligen: zo voorkom je hacks en datalekken

WordPress beveiligen doe je in een paar concrete stappen: houd WordPress, je thema en plugins altijd up-to-date, gebruik sterke wachtwoorden met tweestapsverificatie en beperk inlogpogingen. Verder is WordPress beveiligen een kwestie van dagelijkse back-ups, een SSL-certificaat, een firewall-plugin en het verwijderen van software die je niet gebruikt. Zet daarbovenop monitoring aan zodat je een hack binnen minuten ziet in plaats van na weken. De meeste hacks komen niet door geavanceerde aanvallen, maar door verouderde plugins en zwakke wachtwoorden. Met deze basis houd je het overgrote deel van de aanvallen tegen.

Inhoudsopgave

Waarom WordPress beveiligen belangrijk is voor MKB

WordPress draait achter ruim 40 procent van alle websites wereldwijd. Die populariteit maakt het ook een doelwit. Hackers scannen automatisch het hele internet af op bekende lekken. Of je nu een lokale schildersbedrijf of een webshop met duizend bezoekers per dag bent, je site wordt getest.

Een gehackte site kost je meer dan een paar uur werk. Je kunt klantgegevens kwijtraken, een melding moeten doen bij de Autoriteit Persoonsgegevens en je positie in Google verliezen omdat je site als onveilig wordt gemarkeerd. Herstel kost al snel een paar honderd tot enkele duizenden euro's, plus de omzet die je misloopt zolang je offline bent.

Het goede nieuws: de meeste aanvallen zijn geen maatwerk. Het zijn geautomatiseerde scans die zoeken naar de makkelijkste slachtoffers. Zorg dat jij niet de makkelijkste bent, en je houdt het overgrote deel buiten de deur.

Houd WordPress, thema en plugins altijd up-to-date

De grootste oorzaak van hacks is verouderde software. Een plugin met een bekend lek dat al maanden niet is bijgewerkt, is een open deur. Updates dichten precies die gaten.

Stel automatische updates in voor de WordPress-kern en voor plugins waar je op vertrouwt. Op WordPress.org verschijnen beveiligingsupdates vaak binnen dagen na een ontdekt lek. Loop minimaal één keer per week je updates na als je ze niet automatisch laat draaien.

Verwijder plugins en thema's die je niet gebruikt. Inactieve software wordt vaak vergeten en niet bijgewerkt, maar blijft wel een risico. Hoe minder je installeert, hoe minder er stuk kan.

  • Zet automatische updates aan voor de WordPress-kern
  • Update plugins en thema's wekelijks of automatisch
  • Verwijder alles wat je niet actief gebruikt
  • Gebruik alleen plugins die het afgelopen jaar zijn bijgewerkt

Login-hardening: maak inloggen onneembaar

De inlogpagina is het meest aangevallen onderdeel van WordPress. Bots proberen automatisch duizenden wachtwoordcombinaties. Met een paar maatregelen sluit je dat af.

Inlogscherm met tweestapsverificatie en een geblokkeerde bot die probeert in te breken

Sterke wachtwoorden en tweestapsverificatie

Gebruik voor elk account een uniek wachtwoord van minstens 16 tekens. Een wachtwoordmanager regelt dat voor je. Zet daarbovenop tweestapsverificatie aan, zodat een gestolen wachtwoord alleen niet genoeg is. Plugins als Wordfence of een aparte 2FA-plugin regelen dit in enkele minuten.

Beperk inlogpogingen en verberg de loginpagina

Stel in dat een IP-adres na vijf mislukte pogingen tijdelijk wordt geblokkeerd. Dat stopt geautomatiseerd raden. Verander daarnaast de standaard inlog-URL van /wp-admin naar iets eigens, zodat bots de loginpagina niet zomaar vinden.

Verwijder ook de standaardgebruikersnaam 'admin'. Die is bij iedereen bekend, dus hackers hoeven alleen nog het wachtwoord te raden. Maak een nieuwe beheerder met een eigen gebruikersnaam en verwijder de oude.

Installeer SSL en een firewall

Een SSL-certificaat zorgt voor het slotje in de browser en versleutelt het verkeer tussen je bezoeker en je site. Zonder SSL markeert Google je site als 'niet veilig' en haken bezoekers af. De meeste hostingpartijen leveren een gratis SSL-certificaat via Let's Encrypt. Controleer of dat actief staat.

Een firewall-plugin zoals Wordfence of Sucuri filtert kwaadaardig verkeer voordat het je site bereikt. Het blokkeert bekende aanvalspatronen en verdachte IP-adressen. De gratis versies bieden voor de meeste MKB-sites genoeg, betaalde versies kosten ongeveer 100 tot 300 euro per jaar en voegen onder meer realtime-bescherming toe.

Maak dagelijkse back-ups

Als het toch misgaat, is een recente back-up je redding. Met een werkende back-up zet je je site binnen een uur terug in plaats van dagen te besteden aan herstel.

Maak minstens één keer per dag een volledige back-up van zowel je bestanden als je database. Bewaar die los van je server, bijvoorbeeld in Google Drive of een aparte clouddienst. Een back-up op dezelfde server gaat bij een hack vaak mee verloren.

Test minstens één keer per kwartaal of je back-up echt terug te zetten is. Een back-up die niet werkt, is geen back-up. Plugins als UpdraftPlus regelen automatische back-ups, ook gratis.

Dagelijkse back-up van een WordPress-site die naar een aparte cloudopslag wordt opgeslagen

Zet monitoring aan zodat je een hack direct ziet

Veel ondernemers ontdekken een hack pas weken later, als Google een waarschuwing toont of klanten klagen. Met monitoring zie je problemen binnen minuten.

Stel uptime-monitoring in die je een mail of bericht stuurt zodra je site offline gaat. Activeer in je beveiligingsplugin meldingen bij verdachte inlogpogingen of gewijzigde bestanden. Koppel je site aan Google Search Console, want Google waarschuwt je daar als het malware op je site vindt.

Houd ook je hostingomgeving in de gaten. Een goede host scant zelf op malware en blokkeert verdacht verkeer. Vraag bij twijfel na wat jouw host precies doet aan beveiliging.

Kies een veilige host en goede basisstructuur

Beveiliging begint bij je fundament. Goedkope shared hosting van een paar euro per maand deelt vaak een server met honderden andere sites, waardoor een hack bij een buurman jou kan raken. Reken voor degelijke WordPress-hosting op 10 tot 30 euro per maand.

Een goed gebouwde site is ook veiliger. Bij een maatwerksite met een schone structuur heb je minder losse plugins nodig die elk een risico vormen. In onze complete maatwerkgids voor WordPress met Breakdance en ACF lees je hoe die opbouw werkt. Twijfel je tussen een kant-en-klare oplossing en maatwerk, lees dan template versus maatwerk website.

Heb je een webshop met WooCommerce, dan is beveiliging extra belangrijk omdat je betaal- en klantgegevens verwerkt. Volg de aanbevelingen in de WooCommerce-documentatie en zorg dat je betalingen via een gecertificeerde provider lopen.

Een praktisch beveiligingsschema voor MKB

Je hoeft niet alles in één keer te doen. Werk de lijst stap voor stap af en houd daarna een vast ritme aan.

Dit kun je vandaag al regelen: zet automatische updates aan, controleer of SSL actief is, installeer een back-upplugin en zet tweestapsverificatie aan. Plan daarna een wekelijkse controle van een kwartier in.

  • Dagelijks: automatische back-up draait, monitoring actief
  • Wekelijks: updates controleren, verdachte inlogpogingen bekijken
  • Maandelijks: ongebruikte plugins en gebruikers opruimen
  • Per kwartaal: back-up testen door terugzetten

Veelgestelde vragen

Welke plugin is het beste om WordPress te beveiligen?

Wordfence en Sucuri zijn de meest gebruikte beveiligingsplugins voor WordPress. Beide bieden een firewall, scant op malware en beperken inlogpogingen. De gratis versies volstaan voor de meeste MKB-sites, betaalde versies kosten ongeveer 100 tot 300 euro per jaar.

Hoe vaak moet ik mijn WordPress-site updaten?

Controleer minstens één keer per week op updates, of zet automatische updates aan voor de kern en je vertrouwde plugins. Beveiligingsupdates verschijnen vaak binnen dagen na een ontdekt lek, dus snel handelen is belangrijk. Verouderde plugins zijn de grootste oorzaak van hacks.

Wat moet ik doen als mijn WordPress-site gehackt is?

Zet je site direct offline of in onderhoudsmodus zodat bezoekers geen schade oplopen. Zet daarna een schone back-up terug van vóór de hack, wijzig alle wachtwoorden en update alles. Schakel bij twijfel een specialist in en doe een melding bij de Autoriteit Persoonsgegevens als er klantgegevens zijn gelekt.

Is een gratis SSL-certificaat veilig genoeg?

Ja, een gratis SSL-certificaat via Let's Encrypt biedt dezelfde versleuteling als een betaald certificaat. Voor de meeste MKB-sites en webshops is dat ruim voldoende. De meeste hostingpartijen leveren het standaard mee, controleer alleen of het actief staat.

Hoeveel kost het om mijn WordPress-website goed te beveiligen?

De basis kun je gratis regelen met updates, een back-upplugin en een gratis firewall. Wil je meer zekerheid, dan kosten een betaalde beveiligingsplugin en degelijke hosting samen ongeveer 200 tot 600 euro per jaar. Dat is weinig vergeleken met de kosten van herstel na een hack.

Kan ik WordPress zelf beveiligen of heb ik een specialist nodig?

De basisstappen zoals updates, sterke wachtwoorden, back-ups en een beveiligingsplugin kun je zelf instellen in een paar uur. Voor monitoring, het hardenen van je server en herstel na een hack is het verstandig een specialist in te schakelen. Veel bureaus bieden onderhoudsabonnementen die dit voor je bijhouden.