Misschien heb je net gelezen dat iemand uit je netwerk gehackt is. Of je ziet zelf iets raars op je site staan en er gaat een knoop in je maag. Of je hebt net ontdekt dat je WordPress-site gehackt is en je zoekt nu hoe je voorkomt dat het nog eens gebeurt.
Ik heb het zelf ook ooit meegemaakt. Op een ochtend stond mijn site vol met inhoud die daar totaal niet hoorde. Niet leuk, wel oplosbaar. En met een paar basismaatregelen had ik het gewoon kunnen voorkomen.
Het goede nieuws: WordPress beveiligen is geen hogere wiskunde. Het is een kwestie van een paar concrete stappen die je zelf kunt zetten. Geen technische kennis nodig, wel even de tijd nemen om het goed in te richten. En dat je geen grote site hebt is trouwens geen argument om het te laten liggen, de meeste aanvallen zijn niet persoonlijk. Geautomatiseerde scripts scannen het hele internet af op sites met zwakke plekken. Of die site nu tien of tienduizend bezoekers per maand trekt, maakt ze niets uit.
In deze blog loop ik tien praktische tips met je door. Direct toepasbaar, in normale taal. Als je ze één keer serieus doorzet, sta je al een stuk steviger.
1. Gebruik sterke wachtwoorden (en een wachtwoordmanager)
Zwakke wachtwoorden zijn nog steeds een van de meest voorkomende redenen dat een WordPress-site gehackt wordt. Niet door gevorderde hackers die jou specifiek uitkiezen, maar door scripts die eindeloos combinaties proberen. Als je wachtwoord “jouwnaam2020” is, zit iemand er binnen een minuut in.
Een goed wachtwoord is minstens 16 tekens, bevat hoofdletters, kleine letters, cijfers en symbolen, en is nergens anders te raden. Dus niet je geboortejaar, niet de naam van je hond, niet “welkom123”.
Omdat niemand dat soort wachtwoorden kan onthouden voor tientallen accounts, gebruik je een wachtwoordmanager. Ik werk zelf met LastPass. Je onthoudt één hoofdwachtwoord, de rest bewaart de tool in een versleutelde kluis. Zet hem ook op je telefoon, dan heb je overal je inloggegevens bij de hand.
Concrete actie: kies een wachtwoordmanager en vervang je huidige WordPress-wachtwoord door een sterk, uniek wachtwoord.
2. Update je WordPress, thema en plugins regelmatig
Open deur, maar hij wordt nog steeds vaak overgeslagen. WordPress zelf, je thema en je plugins krijgen regelmatig updates. Die updates bevatten niet alleen nieuwe functies, maar vooral beveiligingspatches. Oftewel: ze dichten gaten waar hackers doorheen kunnen.
Hoe langer je die updates laat liggen, hoe groter het gat. En hackers weten precies welke gaten er openstaan, want lekken worden publiek gemeld.
In je WordPress-dashboard zie je onder “Updates” wat er klaarstaat. Maak altijd eerst een backup, voer dan eerst je plugins bij, daarna je thema en als laatste WordPress zelf. Grote updates doe je liever handmatig dan automatisch, dan heb je controle als er iets misgaat.
Concrete actie: zet in je agenda dat je wekelijks of tweewekelijks je updates doorloopt. Vast inplannen werkt beter dan “ik doe het als ik eraan denk”.
3. WordPress beveiligen met een beveiligingsplugin
Een beveiligingsplugin is eigenlijk een waakhond voor je WordPress-site. Hij houdt in de gaten wie er probeert in te loggen, blokkeert verdacht verkeer, scant je site op malware en waarschuwt je als er iets niet klopt.
De twee waar ik goede ervaringen mee heb zijn Wordfence en Solid Security (vroeger iThemes Security). Beide doen in de basis hetzelfde: je site actief beschermen tegen aanvallen. Solid Security heeft een rustigere interface, Wordfence is wat uitgebreider.
Installeren gaat via je dashboard: Plugins, Nieuwe plugin toevoegen, zoeken op Wordfence of Solid Security, installeren en activeren. Daarna loop je de setup-wizard door. Kies één van beide, niet allebei, want dat bijt elkaar.
Concrete actie: kies één beveiligingsplugin en installeer hem vandaag.
4. Beveilig je inlog met tweestapsverificatie (2FA)
Tweestapsverificatie is een extra slot op je voordeur. Na je gebruikersnaam en wachtwoord vraagt WordPress om een code die alleen jij kunt zien, meestal in een app op je telefoon. Zelfs als iemand je wachtwoord weet, komt hij er niet in zonder die tweede code.
Dit is misschien wel de grootste beveiligingswinst die je in vijf minuten kunt boeken.
De meeste beveiligingsplugins (Wordfence, Solid Security) hebben 2FA ingebouwd. Je koppelt je WordPress-account aan een app zoals Google Authenticator of Authy op je telefoon, en klaar.
Concrete actie: zet 2FA aan voor je eigen account en voor elk ander account met admin-rechten.
5. Verander de URL van inlogpagina
Standaard log je in WordPress in via /wp-admin of /wp-login.php. Dat weet elke hacker. Als je die URL verandert naar iets wat alleen jij kent, moet een aanvaller eerst de juiste URL raden voordat hij überhaupt iets kan proberen.
Plugins zoals WPS Hide Login of Solid Security maken dit simpel. Je kiest een nieuwe URL, bijvoorbeeld jouwdomein.nl/kantoor-in, en vanaf dat moment werkt de oude URL niet meer.
Belangrijk: bewaar die nieuwe URL goed. Als je hem vergeet, kun je zelf ook niet meer inloggen. Zet hem in je wachtwoordmanager.
Concrete actie: wijzig je inlog-URL en sla de nieuwe ergens veilig op.
6. Installeer een SSL-certificaat
Met een SSL-certificaat wordt het verkeer tussen je website en de bezoeker versleuteld. Je herkent het aan het slotje links van de URL en aan “https” in plaats van “http”.
Zonder SSL krijgen bezoekers in sommige browsers een waarschuwing dat je site onveilig is. Niet bepaald vertrouwenwekkend. En Google weegt SSL mee in de ranking, dus je mist ook SEO-punten.
Het goede nieuws: bij de meeste hosts kun je gratis een SSL-certificaat aanzetten, vaak met één klik. Regel het direct als je een nieuwe site bouwt. Doe je het later en zie je dat niet alles soepel overschakelt van http naar https, dan helpt de plugin Really Simple SSL om dat op te lossen.
Concrete actie: check of je site al op https draait. Zo niet: regel een SSL-certificaat via je host.
7. Kies een betrouwbare hostingpartij
Hosting is geen plek om te besparen. Goedkope hosting betekent vaak: oudere serversoftware, langzamere servers, geen dagelijkse backups en support die je pas na twee dagen terugbelt als je site platligt.
Waar je op let bij het kiezen van een host: ondersteuning voor de nieuwste PHP-versie (de programmeertaal waarin WordPress draait, oudere versies bevatten bekende beveiligingsrisico’s), automatische dagelijkse backups, actieve beveiligingsmonitoring, en fatsoenlijke support in jouw taal.
Ik werk zelf met Vimexx. Goede prijs-kwaliteit, Nederlandse support en een prettige hosting-omgeving. SiteGround is ook een goede keuze, wat internationaler en iets prijziger. Beide bieden dagelijkse backups en actieve beveiliging.
Concrete actie: check welke PHP-versie je host gebruikt en of er dagelijkse backups draaien. Zo niet: tijd om over te stappen.
8. Beperk het aantal inlogpogingen
Hackers gebruiken scripts die eindeloos wachtwoorden proberen. Dat heet een brute force-aanval. Als je geen limiet instelt, kunnen ze doorgaan tot ze binnen zijn.
Door een limiet in te stellen (bijvoorbeeld drie pogingen) blokkeer je zo’n script automatisch. Na drie verkeerde pogingen wordt het IP-adres tijdelijk buitengesloten en is het spel over.
Solid Security en Wordfence hebben deze functie standaard. Solid Security kan bovendien IP-adressen die vaker proberen permanent blokkeren. Zet daarbij je eigen IP-adres op de veilige lijst, anders sluit je jezelf een keer per ongeluk buiten als je je wachtwoord fout typt.
Concrete actie: zet een limiet op inlogpogingen in je beveiligingsplugin en voeg je eigen IP toe aan de witte lijst.
9. Maak regelmatig backups van je site
Ook met alle beveiliging van de wereld kan er iets misgaan. Een plugin die ruzie maakt, een update die fout loopt, of toch die ene hack die doorkomt. In al die gevallen ben je blij als je gisteren nog een backup hebt gemaakt.
Veel hosts (zoals Vimexx en SiteGround) maken automatisch dagelijkse backups. Dat is een prima basis. Ik raad altijd aan om daarnaast zelf backups te hebben op een externe locatie, bijvoorbeeld in je eigen Google Drive of Dropbox. Dan ben je niet afhankelijk van je host als die plat ligt.
UpdraftPlus is een populaire plugin om dit zelf te regelen. Installeren, koppelen aan je externe opslag, en hem automatisch backups laten maken. Maak daarnaast altijd een handmatige backup voor je grote updates of aanpassingen doet. Als er iets misgaat, zet je in een paar klikken de oude versie terug.
Concrete actie: installeer UpdraftPlus, koppel een externe opslag en plan automatische backups in.
10. Kies betrouwbare thema’s en plugins (en gooi de rest weg)
Elke plugin en elk thema op je site is een potentieel lek. Ook plugins die je niet gebruikt maar nog wel geïnstalleerd hebt. Die worden vaak niet bijgewerkt, en precies daar komen hackers binnen.
Gebruik alleen plugins die actief onderhouden worden. Check in de WordPress plugin directory hoeveel installaties een plugin heeft, wanneer hij voor het laatst is bijgewerkt en wat de reviews zeggen. Plugins die al een jaar geen update hebben gehad: weg ermee.
Installeer alleen wat je echt nodig hebt. Bij twijfel: niet installeren. Minder plugins is minder risico en een snellere site. En loop je lijst regelmatig door, zowel plugins als thema’s. Je hebt maar één thema actief nodig, de rest mag weg.
Concrete actie: loop vandaag je plugin- en themalijst door en verwijder alles wat je niet gebruikt.
WordPress beveiligen is geen eenmalig klusje
Wat je hierboven hebt gelezen zijn geen dingen die je één keer doet en dan nooit meer. Beveiliging is een doorlopend proces. Wekelijks backups checken, updates doen, verdachte logins bekijken, nieuwe plugins beoordelen.
Kennis is meestal niet het probleem. Consistentie wel. De meeste ondernemers die ik spreek weten heus wel wat ze moeten doen, maar komen er niet aan toe. Andere dingen hebben voorrang, en dat snap ik. Jij bent geen webbeheerder, jij bent ondernemer.
Dus als je dit wekelijks niet zelf gaat doen, laat het dan over aan iemand die het al doet. Geen schaamte, gewoon slim.
Klaar met stress over updates en beveiliging?
Met mijn WordPress-onderhoudspakket neem ik dit volledig van je over. Wekelijkse updates, backups, beveiligingschecks en technische monitoring. Jij houdt focus op je klanten, ik regel de achterkant.
👉 Bekijk hier mijn onderhoudspakket en zet je website veilig op automatische piloot.
