Elke dag worden duizenden WordPress-sites gehackt. Niet omdat WordPress onveilig is, maar omdat eigenaren basismaatregelen overslaan. In dit artikel laat ik je zien hoe je jouw site in minder dan een uur een stuk veiliger maakt.
Waarom WordPress zo vaak aangevallen wordt
WordPress draait op 43% van alle websites ter wereld. Die populariteit maakt het een aantrekkelijk doelwit: een succesvolle aanvalsmethode werkt op miljoenen sites tegelijk. De meeste aanvallen zijn geautomatiseerd — bots die bekende kwetsbaarheden scannen en proberen te misbruiken.
Goed nieuws: de meeste aanvallen zijn ook makkelijk te blokkeren met de juiste instellingen.
Stap 1: Houd WordPress, themes en plugins up-to-date
Verouderde software is de nummer-één oorzaak van gehackte WordPress-sites. Beveiligingslekken worden publiek gemaakt zodra ze gepatcht zijn — wat automatisch een handleiding geeft aan hackers voor alle sites die nog niet geüpdatet zijn.
- Zet automatische updates aan voor kleine WordPress-versies (Instellingen → Algemeen)
- Update plugins en themes minimaal wekelijks
- Verwijder plugins en themes die je niet gebruikt — ze hoeven niet eens actief te zijn om een risico te vormen
Stap 2: Gebruik sterke wachtwoorden en twee-factor-authenticatie
Brute-force aanvallen proberen automatisch duizenden wachtwoord-combinaties. Een sterk wachtwoord én twee-factor-authenticatie (2FA) maakt dit vrijwel onmogelijk.
- Gebruik een wachtwoordmanager (Bitwarden, 1Password) voor unieke wachtwoorden per site
- Installeer WP 2FA of Two Factor Authentication voor beheerders
- Verander de standaard gebruikersnaam “admin” — verwijder dit account en maak een nieuw beheerdersaccount met een andere naam
Stap 3: Begrens inlogpogingen
Standaard staat WordPress onbeperkt inlogpogingen toe. Installeer Limit Login Attempts Reloaded (gratis) om IP-adressen tijdelijk te blokkeren na te veel mislukte pogingen.
// Of voeg dit toe aan functions.php voor extra bescherming:
add_filter('authenticate', function($user, $username, $password) {
// Na te veel mislukte pogingen blokkeer je via de plugin
}, 30, 3);Stap 4: Installeer een beveiligingsplugin
Een goede beveiligingsplugin scant je site op malware, bewaakt bestandswijzigingen en blokkeert verdacht verkeer. De beste opties:
| Plugin | Gratis versie | Beste voor |
|---|---|---|
| Wordfence | ✅ Ja | Firewall + malware scanner |
| Sucuri Security | ✅ Ja | Monitoring + bestandsintegriteit |
| iThemes Security | ✅ Ja | Beginners, alles-in-één |
| Cloudflare | ✅ Ja | DDoS-bescherming + CDN |
Wordfence is de meest populaire keuze voor zijn gratis firewall en wekelijkse malware-scans.
Stap 5: Verberg de wp-admin en login-URL
Bots scannen standaard op /wp-admin/ en /wp-login.php. Door de login-URL te verplaatsen maak je het leven van aanvallers een stuk moeilijker.
- WPS Hide Login — verplaats je login-URL naar een willekeurig adres
- Voeg IP-whitelist toe voor wp-admin via je
.htaccessals je altijd van hetzelfde IP-adres werkt
# .htaccess — blokkeer wp-admin voor iedereen behalve jouw IP
Order Deny,Allow
Deny from All
Allow from 123.456.789.0
Stap 6: SSL-certificaat en HTTPS
HTTPS versleutelt de verbinding tussen bezoeker en server. Zonder SSL kunnen inloggegevens onderschept worden. De meeste hostingproviders geven gratis Let’s Encrypt SSL-certificaten — activeer dit via je hostingpanel.
Voeg na activatie toe aan wp-config.php:
define('FORCE_SSL_ADMIN', true);Stap 7: Regelmatige backups
Een backup is je laatste verdedigingslinie. Als alles misgaat, herstel je de site in minuten naar een eerdere versie. Gebruik UpdraftPlus (gratis) voor automatische dagelijkse backups naar Google Drive of Dropbox.
- Sla backups op buiten je server (cloud)
- Test je backup regelmatig door hem te herstellen op een testomgeving
- Bewaar minimaal 30 dagen aan backups
Stap 8: Beperk bestandsrechten
Verkeerde bestandspermissies geven aanvallers te veel toegang. De correcte instellingen:
| Bestand/Map | Permissie |
|---|---|
| Mappen | 755 |
| Bestanden | 644 |
| wp-config.php | 600 |
| .htaccess | 644 |
Beveiligingschecklist op een rij
- ☑ WordPress, themes en plugins up-to-date
- ☑ Sterk wachtwoord + 2FA actief
- ☑ Standaard “admin” gebruikersnaam verwijderd
- ☑ Inlogpogingen begrensd
- ☑ Beveiligingsplugin geïnstalleerd (Wordfence)
- ☑ Login-URL verplaatst (WPS Hide Login)
- ☑ SSL/HTTPS actief
- ☑ Dagelijkse backup naar cloud (UpdraftPlus)
- ☑ Bestandspermissies correct ingesteld
Al gehackt? Dit doe je nu
Als je vermoedt dat je site gehackt is: zet hem offline, maak een backup van de huidige staat (voor analyse), scan met Wordfence of Sucuri en herstel vanuit een schone backup. Verander daarna alle wachtwoorden — WordPress, hosting, FTP en e-mail.
Een hack is stressvoller dan het lijkt: je site kan op blacklists staan bij Google en antivirus-software, wat bezoekers weghoudt ook nadat de malware verwijderd is.
👉 WPTS.nl verwijdert malware en herstelt gehackte WordPress-sites — inclusief blacklist-verwijdering bij Google en antivirussoftware. Gratis diagnose, 30 dagen garantie.
Veelgestelde vragen
Is WordPress veilig genoeg voor een webshop?
Ja, mits goed geconfigureerd. WooCommerce draait op miljoenen webshops wereldwijd. Zorg voor een SSL-certificaat, sterke wachtwoorden en een betalingsprovider die PCI-DSS-compliant is (zoals Mollie of Stripe).
Hoe weet ik of mijn site gehackt is?
Tekenen van een hack: vreemde redirects, waarschuwingen van Google, onbekende bestanden in wp-content, vertraagde laadtijden of onbekende beheerdersaccounts. Scan je site op sitecheck.sucuri.net voor een snelle check.
Moet ik betalen voor een goede beveiliging?
De gratis versies van Wordfence, UpdraftPlus en WPS Hide Login zijn voor de meeste sites meer dan voldoende. Betaalde versies voegen realtime-updates en geavanceerde firewall-regels toe — nuttig voor drukke webshops of sites met gevoelige data.