Elke dag worden 90.000 WordPress-sites aangevallen. De meeste hacks zijn te voorkomen met basismaatregelen die je in een middag doorvoert. In deze gids leer je stap voor stap hoe je WordPress grondig beveiligt.
Waarom worden WordPress-sites gehackt?
- Verouderde plugins of thema’s — verantwoordelijk voor 52% van alle hacks
- Zwakke wachtwoorden — brute force aanvallen proberen duizenden combinaties
- Verouderde WordPress-kern — updates dichten bekende kwetsbaarheden
- Onveilige hosting — gedeelde servers zonder isolatie
De 10 essentiële beveiligingsmaatregelen
1. Houd alles up-to-date
De eenvoudigste maar meest effectieve maatregel. Schakel automatische minor updates in voor de WordPress-kern via wp-config.php: define('WP_AUTO_UPDATE_CORE', 'minor');
2. Sterke, unieke wachtwoorden
Minimaal 16 tekens met hoofdletters, kleine letters, cijfers en symbolen. Gebruik Bitwarden (gratis) of 1Password. Nooit hetzelfde wachtwoord voor meerdere accounts.
3. Twee-factor authenticatie (2FA)
Zelfs met je wachtwoord kan een aanvaller niet inloggen zonder de 2FA-code. Installeer de plugin “Two Factor” of gebruik Wordfence Login Security voor alle administrator-accounts.
4. Security plugin
- Wordfence Security — meest complete gratis oplossing met firewall en malware scanner
- iThemes Security — gebruiksvriendelijk alternatief
- Sucuri Security — goede aanvulling voor activiteitenlogboek
5. Beperk inlogpogingen
Brute force aanvallen proberen duizenden wachtwoorden per minuut. Gebruik “Limit Login Attempts Reloaded” of de ingebouwde functie van Wordfence om accounts tijdelijk te blokkeren na meerdere mislukte pogingen.
6-10. Meer maatregelen
- Verander gebruikersnaam “admin” naar iets unieks
- Bescherm wp-config.php via .htaccess
- Schakel XML-RPC uit als je het niet gebruikt
- Maak regelmatige backups met UpdraftPlus naar de cloud
- Gebruik beveiligde hosting met serverside WAF
Beveiligings-checklist
- WordPress-kern, plugins en thema’s bijgewerkt
- Sterk uniek wachtwoord voor alle admin-accounts
- Twee-factor authenticatie actief
- Security plugin geinstalleerd en geconfigureerd
- Inlogpogingen beperkt
- Geen gebruikersnaam “admin”
- XML-RPC uitgeschakeld
- Automatische backups naar cloud actief
- SSL-certificaat actief (HTTPS)
Conclusie
WordPress-beveiliging is een doorlopend proces, geen eenmalige actie. Met bovenstaande maatregelen ben je beter beveiligd dan 90% van alle WordPress-sites.
Benieuwd hoe veilig je site nu is? Gebruik onze gratis Security Scanner voor een directe check.