Wat je zelf regelt en wanneer je hulp inschakelt

WordPress beveiliging: de basis

Je WordPress-site draait al een tijdje, en ergens in je achterhoofd knaagt het: is dit ding eigenlijk wel veilig? Je hebt er nooit echt naar gekeken. Dat snap ik. Beveiliging klinkt technisch en urgent tegelijk, maar de meeste WordPress-sites zijn prima te beveiligen met een overzichtelijke set basismaatregelen.

Er is wel degelijk iets te doen, en je hoeft er geen specialist voor te zijn. Maar er is één ding dat ik geleerd heb van een gehackte site die steeds opnieuw terugkwam, en dat heeft mijn kijk op WordPress-beveiliging blijvend veranderd. Daar kom ik zo op.

Hoe veilig is WordPress eigenlijk?

WordPress zelf is veilig. Het is open-source software die continu wordt gecontroleerd en bijgewerkt door duizenden ontwikkelaars wereldwijd. Het risico zit niet in de kern van WordPress, maar in wat er omheen zit: plugins die niet worden bijgehouden, thema’s met bekende kwetsbaarheden, zwakke wachtwoorden en beheeraccounts die eigenlijk al lang niet meer nodig zijn.

De vier plekken waar het meestal misgaat:

  • Verouderde plugins of thema’s met bekende beveiligingslekken
  • Zwakke wachtwoorden of te veel beheeraccounts
  • Geen SSL-certificaat of onveilige hosting
  • Ongebruikte plugins en thema’s die je vergeten bent te verwijderen
WordPress-beveiliging is het geheel van maatregelen dat een WordPress-website beschermt tegen ongeautoriseerde toegang, kwaadaardige software en gegevensdiefstal. Het omvat updates, toegangsbeheer, backups, SSL-versleuteling en het verwijderen van overbodige onderdelen die een aanvalsingang kunnen vormen.

Mijn ervaring: waarom een backup niet altijd genoeg is

Ik heb ooit een site onder handen gehad die steeds opnieuw gehackt werd. Backups terugzetten hielp niks. Een paar dagen later was de besmetting terug. Ik begreep niet waarom, want de site leek schoon na elke herstelactie.

Wat uiteindelijk het probleem bleek: WordPress wordt bij installatie geleverd met een reeks standaardthema’s. Eén van die thema’s had een beveiligingslek. Het thema was niet actief, want de site gebruikte een ander thema. Maar een niet-actief thema staat gewoon op de server. En een kwetsbaarheid in een niet-actief thema is net zo goed een ingang voor een aanvaller als in een actief thema.

Ik heb de plugins stap voor stap uitgesloten, daarna de thema’s. Toen ik het standaardthema met het lek verwijderde, was het probleem over.

Wat ik daarvan geleerd heb: een hack los je niet altijd op door een backup terug te zetten. Als de kwetsbaarheid nog op de server staat, komt de besmetting gewoon terug. Je moet de ingang dichten, niet alleen de schade herstellen. Dat is een fundamenteel verschil.

De basis: dit regel je zelf

De meeste beveiligingsmaatregelen zijn concreet en behapbaar. Je hoeft geen technische achtergrond te hebben om deze in te stellen.

  • Updates bijhouden. WordPress core, je thema en al je plugins bijwerken zodra er een update beschikbaar is. Dit is de meest effectieve maatregel die er is. Verouderde software is de meest voorkomende oorzaak van een gehackte WordPress-site, en de officiële WordPress-documentatie legt uit hoe je dat bijhoudt.
  • Sterke toegangsbeveiliging. Gebruik sterke, unieke wachtwoorden voor alle beheeraccounts. Schakel tweefactorauthenticatie (2FA) in. Begrens het aantal mislukte inlogpogingen. Verwijder beheeraccounts die je niet meer gebruikt. Dit regel je zelf in minder dan tien minuten, daar heb je geen specialist voor nodig.
  • Backups en SSL. Regel automatische backups die dagelijks buiten je eigen hosting worden opgeslagen. Zorg dat je site een SSL-certificaat heeft zodat al het dataverkeer versleuteld is (HTTPS). En kies een hostingprovider die serverbeveiliging serieus neemt.
  • Beveiligingsplugin met firewall. Een beveiligingsplugin voegt een laag actieve bescherming toe: een firewall die verdacht verkeer blokkeert, een malware-scanner en meldingen bij afwijkend gedrag. Er zijn meerdere goede opties. Een handig startpunt: de gratis malware-scanner van Sucuri SiteCheck, waarmee je de huidige status van je site controleert.

Bij een WordPress-website is de techniek uiteindelijk vrij eenvoudig. Het gaat erom dat je deze maatregelen ook bijhoudt. En dat is precies waar het bij veel sites misgaat, niet omdat het moeilijk is, maar omdat het erbij inschiet. Goede beveiliging hoort er gewoon bij, net als alle andere zaken die bepalen wat een WordPress-site werkelijk kost aan tijd en aandacht.

Deactiveren is niet genoeg: ruim ongebruikte plugins en thema’s op

Dit is het punt dat de meeste beveiligingsartikelen overslaan. Een plugin of thema deactiveren is niet hetzelfde als hem verwijderen. Zolang de bestanden op je server staan, kan een aanvaller kwetsbaarheden in die code misbruiken.

WordPress wordt bij installatie geleverd met meerdere standaardthema’s (Twenty Twenty-Three, Twenty Twenty-Four, Twenty Twenty-Five en ouder). Als jij een ander thema gebruikt, staan die standaardthema’s waarschijnlijk gewoon te wachten op je server. Ze worden niet automatisch bijgewerkt als ze niet geactiveerd zijn. En een verouderd, niet-actief thema met een bekend lek is een open ingang.

Wat je doet: verwijder alle plugins en thema’s die je niet gebruikt. Niet deactiveren, maar verwijderen. Dat geldt ook voor de standaardthema’s die WordPress bij installatie meegeeft.

Het kost je vijf minuten, maar je sluit er een ingang mee waar de meeste ondernemers niet eens van weten dat hij openstaat. Als je een WordPress-website maakt of laat maken, is dit een checklist-punt dat standaard gedaan moet zijn bij de oplevering.

Hulp nodig? Twee manieren waarop ik dat oplos

Er is een verschil tussen eenmalig je site opschonen en je site structureel veilig houden. Beide zijn zinvol, maar het zijn andere dingen.

Eenmalig de boel op orde brengen is goed als startpunt. Maar updates blijven komen, nieuwe kwetsbaarheden worden ontdekt, en beveiliging is iets wat je elke maand opnieuw doet. Dat is ook de reden dat veel sites na verloop van tijd alsnog kwetsbaar worden: de eerste inrichting was goed, maar daarna bleef het liggen.

Als je wil dat iemand dat bijhoudt zonder dat jij er elke keer aan hoeft te denken, zijn er twee routes.

1
Websiteplan: structureel geregeld, geen omkijken naar

Bij het Websiteplan zijn updates, backups en beveiliging standaard geregeld. Je hebt er geen omkijken naar. Wil je weten wat er in zo’n plan zit? Dat staat er transparant bij: drie pakketten, vaste functieset, geen verrassingen achteraf. Dit is de route voor wie gewoon een veilige, goed bijgehouden site wil zonder er zelf tijd in te steken.

2
Maatwerk-onderhoud: voor wie al een eigen site heeft

Heb je al een maatwerk WordPress-site en wil je dat iemand zorgt dat die veilig blijft draaien? Dan stuur je me je URL, en ik kijk er even naar. Geen offerte, geen belafspraak. Gewoon een eerlijke blik op wat er staat en wat er eventueel moet gebeuren. Als je nieuwsgierig bent naar hoe WordPress zich verhoudt tot andere platformen op het gebied van beveiliging en beheer, geeft dat artikel ook context.

Veelgestelde vragen over WordPress beveiliging

WordPress als platform is solide en wordt actief onderhouden door een wereldwijde ontwikkelaarsgemeenschap. Beveiligingslekken in de kern worden doorgaans snel gedicht via updates. Het risico zit niet in WordPress zelf, maar in verouderde plugins, niet-bijgewerkte thema’s, zwakke wachtwoorden en hosting zonder adequate beveiliging.
Ja, en dat is een van de meest onderschatte beveiligingsmaatregelen. Deactiveren is niet genoeg. De bestanden blijven op de server staan en een kwetsbaarheid in een niet-actief thema of plugin is net zo goed een aanvalsingang als in een actief onderdeel. Verwijder alles wat je niet actief gebruikt, inclusief de standaardthema’s die WordPress bij installatie meegeeft.
Soms wel, maar niet altijd. Als de kwetsbaarheid die de aanvaller binnenliep nog aanwezig is na het terugzetten, wordt de site opnieuw geïnfecteerd. Een backup herstelt de schade, maar dicht niet de ingang. Je moet eerst de oorzaak vinden en verwijderen, dan pas een backup terugzetten. Anders is het een kwestie van tijd voordat het terugkomt.
De basis bestaat uit vier maatregelen: updates bijhouden (core, plugins, thema’s), sterke wachtwoorden met tweefactorauthenticatie, automatische externe backups en een beveiligingsplugin met firewall. Verwijder daarnaast alle plugins en thema’s die je niet actief gebruikt. Geen van deze stappen is ingewikkeld, maar je moet ze wel consequent toepassen.
Nee. SSL (het slotje in je browser) versleutelt het dataverkeer tussen bezoeker en server. Dat is belangrijk, maar het beschermt niet tegen inbraak via verouderde software, zwakke wachtwoorden of kwaadaardige code in plugins. SSL is één laag van een bredere beveiligingsaanpak, geen complete oplossing op zichzelf.

Conclusie

Het risico op een gehackte WordPress-site is reëel. Maar het is niet ingewikkeld en zeker niet iets om van wakker te liggen. De meeste risico’s zijn te beperken met een overzichtelijke set basismaatregelen: updates bijhouden, ongebruikte onderdelen verwijderen, sterke toegangsbeveiliging instellen en een fatsoenlijke backup-routine. Dat is wat de meeste sites veilig houdt.

Wil je het niet zelf bijhouden, dan is er een makkelijkere route. In het Websiteplan zit dit er standaard in.

Deel dit met anderen!

Over de Auteurs: Rik Goedhart

Rik Goedhart helpt bij het ontwikkelen en optimaliseren van websites t.b.v. zoekmachine optimalisatie. Dit wordt onder andere gedaan met content marketing. Wil jij mij als online marketeer inhuren?
Met 10 jaar ervaring als online marketeer, ben ik mijn carrière begonnen als grafisch ontwerper. In de loop der jaren heb ik mij ontwikkeld in de wereld van websiteontwikkeling met WordPress, online marketing en zoekmachine optimalisatie. Mijn aanpak omvat een combinatie van creativiteit en strategie, met als doel merken optimaal te presenteren aan een breed online publiek. Ik zie het niet alleen als mijn taak om websites te bouwen of online marketingstrategieën te implementeren. Ik beschouw het meer als het creëren van een betekenisvolle online ervaring die klikt met jouw doelgroep. Of je nu een startende ondernemer bent die de eerste digitale stappen zet, of een gevestigd bedrijf dat de online zichtbaarheid wil versterken. Mijn inzet is erop gericht creativiteit en strategie samen te brengen.

Inhoudsopgave

Voor als je meer wil ontdekken

Ook interessant voor jou

  • Website voor je kapper, salon of coachpraktijk: dit heeft hij nodig

    Een kapper website laten maken, een schoonheidssalon online zetten of een coachpraktijk vindbaar maken: de behoeften per branche verschillen meer dan je denkt. Waar een kapper een online agenda en prijslijst nodig heeft, draait het bij een coach juist om vertrouwen en inhoud. Ik loop per branche langs wat een website echt moet kunnen. Plus een eerlijke vergelijking van de routes: zelf bouwen, laten maken of op abonnement.

  • Google AI Overviews: waarom je verkeer daalt en wat je eraan doet

    Je impressies in Google blijven hoog, maar je klikken zakken. Dat patroon zie ik steeds vaker. AI Overviews veranderen hoe zoekers met resultaten omgaan, en dat vraagt om een andere aanpak. In dit artikel leg ik uit wat er gebeurt, hoe je de data interpreteert en wat je nu concreet kunt doen om zichtbaar te blijven, ook in de antwoorden van AI.

  • Wat is Google Search Console? (En waarom je het nodig hebt)

    Wat is Google Search Console en hoe gebruik je het als MKB-ondernemer? Google Search Console is een gratis tool die laat zien welke zoektermen mensen gebruiken om jouw website te vinden, op welke positie je staat en of Google je pagina's correct indexeert. Het verandert niets aan je site: het kijkt alleen mee. In dit artikel leg ik uit hoe je het instelt, welke drie rapporten je echt nodig hebt en waarom je er ook Bing Webmaster Tools naast zet.