WordPress beveiliging: de basis
Je WordPress-site draait al een tijdje, en ergens in je achterhoofd knaagt het: is dit ding eigenlijk wel veilig? Je hebt er nooit echt naar gekeken. Dat snap ik. Beveiliging klinkt technisch en urgent tegelijk, maar de meeste WordPress-sites zijn prima te beveiligen met een overzichtelijke set basismaatregelen.
Er is wel degelijk iets te doen, en je hoeft er geen specialist voor te zijn. Maar er is één ding dat ik geleerd heb van een gehackte site die steeds opnieuw terugkwam, en dat heeft mijn kijk op WordPress-beveiliging blijvend veranderd. Daar kom ik zo op.
Hoe veilig is WordPress eigenlijk?
WordPress zelf is veilig. Het is open-source software die continu wordt gecontroleerd en bijgewerkt door duizenden ontwikkelaars wereldwijd. Het risico zit niet in de kern van WordPress, maar in wat er omheen zit: plugins die niet worden bijgehouden, thema’s met bekende kwetsbaarheden, zwakke wachtwoorden en beheeraccounts die eigenlijk al lang niet meer nodig zijn.
De vier plekken waar het meestal misgaat:
Mijn ervaring: waarom een backup niet altijd genoeg is
Ik heb ooit een site onder handen gehad die steeds opnieuw gehackt werd. Backups terugzetten hielp niks. Een paar dagen later was de besmetting terug. Ik begreep niet waarom, want de site leek schoon na elke herstelactie.
Wat uiteindelijk het probleem bleek: WordPress wordt bij installatie geleverd met een reeks standaardthema’s. Eén van die thema’s had een beveiligingslek. Het thema was niet actief, want de site gebruikte een ander thema. Maar een niet-actief thema staat gewoon op de server. En een kwetsbaarheid in een niet-actief thema is net zo goed een ingang voor een aanvaller als in een actief thema.
Ik heb de plugins stap voor stap uitgesloten, daarna de thema’s. Toen ik het standaardthema met het lek verwijderde, was het probleem over.
Wat ik daarvan geleerd heb: een hack los je niet altijd op door een backup terug te zetten. Als de kwetsbaarheid nog op de server staat, komt de besmetting gewoon terug. Je moet de ingang dichten, niet alleen de schade herstellen. Dat is een fundamenteel verschil.
De basis: dit regel je zelf
De meeste beveiligingsmaatregelen zijn concreet en behapbaar. Je hoeft geen technische achtergrond te hebben om deze in te stellen.
Bij een WordPress-website is de techniek uiteindelijk vrij eenvoudig. Het gaat erom dat je deze maatregelen ook bijhoudt. En dat is precies waar het bij veel sites misgaat, niet omdat het moeilijk is, maar omdat het erbij inschiet. Goede beveiliging hoort er gewoon bij, net als alle andere zaken die bepalen wat een WordPress-site werkelijk kost aan tijd en aandacht.
Deactiveren is niet genoeg: ruim ongebruikte plugins en thema’s op
Dit is het punt dat de meeste beveiligingsartikelen overslaan. Een plugin of thema deactiveren is niet hetzelfde als hem verwijderen. Zolang de bestanden op je server staan, kan een aanvaller kwetsbaarheden in die code misbruiken.
WordPress wordt bij installatie geleverd met meerdere standaardthema’s (Twenty Twenty-Three, Twenty Twenty-Four, Twenty Twenty-Five en ouder). Als jij een ander thema gebruikt, staan die standaardthema’s waarschijnlijk gewoon te wachten op je server. Ze worden niet automatisch bijgewerkt als ze niet geactiveerd zijn. En een verouderd, niet-actief thema met een bekend lek is een open ingang.
Wat je doet: verwijder alle plugins en thema’s die je niet gebruikt. Niet deactiveren, maar verwijderen. Dat geldt ook voor de standaardthema’s die WordPress bij installatie meegeeft.
Het kost je vijf minuten, maar je sluit er een ingang mee waar de meeste ondernemers niet eens van weten dat hij openstaat. Als je een WordPress-website maakt of laat maken, is dit een checklist-punt dat standaard gedaan moet zijn bij de oplevering.
Hulp nodig? Twee manieren waarop ik dat oplos
Er is een verschil tussen eenmalig je site opschonen en je site structureel veilig houden. Beide zijn zinvol, maar het zijn andere dingen.
Eenmalig de boel op orde brengen is goed als startpunt. Maar updates blijven komen, nieuwe kwetsbaarheden worden ontdekt, en beveiliging is iets wat je elke maand opnieuw doet. Dat is ook de reden dat veel sites na verloop van tijd alsnog kwetsbaar worden: de eerste inrichting was goed, maar daarna bleef het liggen.
Als je wil dat iemand dat bijhoudt zonder dat jij er elke keer aan hoeft te denken, zijn er twee routes.
Bij het Websiteplan zijn updates, backups en beveiliging standaard geregeld. Je hebt er geen omkijken naar. Wil je weten wat er in zo’n plan zit? Dat staat er transparant bij: drie pakketten, vaste functieset, geen verrassingen achteraf. Dit is de route voor wie gewoon een veilige, goed bijgehouden site wil zonder er zelf tijd in te steken.
Heb je al een maatwerk WordPress-site en wil je dat iemand zorgt dat die veilig blijft draaien? Dan stuur je me je URL, en ik kijk er even naar. Geen offerte, geen belafspraak. Gewoon een eerlijke blik op wat er staat en wat er eventueel moet gebeuren. Als je nieuwsgierig bent naar hoe WordPress zich verhoudt tot andere platformen op het gebied van beveiliging en beheer, geeft dat artikel ook context.
Veelgestelde vragen over WordPress beveiliging
Conclusie
Het risico op een gehackte WordPress-site is reëel. Maar het is niet ingewikkeld en zeker niet iets om van wakker te liggen. De meeste risico’s zijn te beperken met een overzichtelijke set basismaatregelen: updates bijhouden, ongebruikte onderdelen verwijderen, sterke toegangsbeveiliging instellen en een fatsoenlijke backup-routine. Dat is wat de meeste sites veilig houdt.
Wil je het niet zelf bijhouden, dan is er een makkelijkere route. In het Websiteplan zit dit er standaard in.
Inhoudsopgave
Ook interessant voor jou





