Veel WordPress-gebruikers stellen wordpress updates uit. Soms uit angst dat er iets misgaat, soms simpelweg omdat ze er niet aan denken. Maar verouderde software is de meest voorkomende oorzaak van gehackte WordPress-sites. In dit artikel leggen we uit welke updates er zijn, waarom ze zo belangrijk zijn en hoe je ze veilig uitvoert zonder dat je site ervan omvalt.
Key Takeaways
- WordPress updates bevatten beveiligingspatches, bugfixes en prestatieverbeteringen.
- Verouderde plugins zijn de meest voorkomende oorzaak van WordPress-hacks.
- Updates uitvoeren is eenvoudig via het dashboard, maar vraagt voorbereiding. Maak altijd eerst een back-up.
- Automatische updates zijn handig, maar niet risicoloos: stel ze selectief in.
Waarom zijn WordPress updates zo belangrijk?
Elke update die beschikbaar komt bevat standaard drie soorten verbeteringen: beveiligingspatches, bugfixes en nieuwe of verbeterde functies. Van die drie zijn de beveiligingsupdates het meest belangrijk.
Beveiligingsupdates
Wanneer een kwetsbaarheid wordt ontdekt in WordPress, een plugin of een thema, brengt de ontwikkelaar zo snel mogelijk een update uit die het probleem verhelpt. Zodra die update publiek beschikbaar is, weten hackers ook dat er een kwetsbaarheid bestaat en beginnen bots automatisch te scannen op sites die de update nog niet hebben uitgevoerd.
Dat maakt timing van updates belangrijk. Hoe langer je wacht met het installeren van een beveiligingsupdate, hoe groter het risico. Lees ook ons artikel over WordPress website beveiligen voor een completer beeld van de beveiligingsrisico’s.
Prestatieverbeteringen
Naast beveiliging bestaan updates ook uit prestatieverbeteringen. Nieuwere versies van plugins en WordPress zelf zijn vaak sneller en efficiënter, wat een positief effect heeft op de laadtijd van je site. Regelmatige updates dragen daarmee ook bij aan een betere PageSpeed-score.
Wat moet je updaten in WordPress?
Er zijn vier onderdelen van je WordPress-omgeving die regelmatig updates nodig hebben.
WordPress core
De WordPress-software zelf krijgt regelmatig updates. Kleine updates, zoals 6.7.1 naar 6.7.2, zijn over het algemeen beveiligingsupdates die je snel kunt uitvoeren. Grote updates, zoals versie 6.7 naar 6.8, bevatten nieuwe functies en zijn iets ingrijpender. Het beste is om deze eerst te testen op een stagingomgeving, voordat je dit live update. Het kan namelijk voor conflicten zorgen met plugins en dit wil je niet op de live omgeving hebben.
Plugins
Plugins zijn veruit het grootste risico als ze niet worden bijgehouden. Er zijn tienduizenden plugins beschikbaar voor WordPress, van uiteenlopende kwaliteit. Controleer daarom wekelijks of er plugin-updates beschikbaar zijn en voer die snel uit. Meer over het beheren van plugins lees je in ons artikel over WordPress plugins beheren.
Thema's
Thema-updates worden minder vaak aangeboden dan plugin-updates, maar zijn ook belangrijk. Let er op dat je alleen het actieve thema en het bijbehorende parent-thema hoeft bij te houden. Verwijder ongebruikte thema’s. Deze vormen namelijk ook een potentieel beveiligingsrisico.
PHP-versie
De PHP-versie is technisch gezien geen WordPress-update, maar valt wel onder het standaard onderhoud van je WordPress-omgeving. Een verouderde PHP-versie ontvangt geen beveiligingsupdates meer. Meer daarover lees je in ons artikel over de PHP versie van WordPress.
Hoe voer je WordPress updates veilig uit?
Updates uitvoeren gaat in de meeste gevallen probleemloos. Toch is het verstandig om een vaste werkwijze aan te houden.
Stap 1: Maak altijd eerst een back-up
Maak voor elke update een volledige back-up van je website, zowel de bestanden als de database. Zo kun je bij problemen altijd terugkeren naar de vorige situatie. Je kunt hierbij gebruik maken van plugins zoals UpdraftPlus.
Stap 2: Update plugins en thema's eerst
Voer plugin- en thema-updates uit voordat je de WordPress core update. Zo verklein je de kans op conflicten. Controleer na elke update (dus per plugin) of de site nog correct werkt.
Stap 3: Test op een stagingomgeving bij grote updates
Bij grote updates, van WordPress core of een grote plugin release, is het verstandig om eerst te testen op een kopie van je site, ook wel een stagingomgeving genoemd. Veel hostingproviders bieden dit aan als standaardoptie.
Automatische WordPress updates: handig of risicovol?
WordPress biedt de mogelijkheid om kleine core-updates automatisch te installeren. Dat is voor de meeste sites verstandig, omdat beveiligingsupdates dan snel worden doorgevoerd zonder dat je er zelf aan hoeft te denken.
Voor plugin-updates is automatisch updaten riskanter. Een plugin-update kan in theorie conflicten veroorzaken met je thema of andere plugins. Stel automatische plugin-updates daarom alleen in voor plugins waarbij je de kwaliteit en stabiliteit vertrouwt, zoals grote, actief onderhouden plugins.
Wat als een WordPress update je site breekt?
Werkt je site niet meer na een update? Herstel dan de back-up die je voor de update hebt gemaakt. Daarna kun je het probleem in kaart brengen: welke plugin of update veroorzaakte het conflict? Schakel plugins één voor één uit om de boosdoener te identificeren.
Lukt het niet om het probleem zelf op te lossen? Een WordPress-specialist kan je helpen bij het diagnosticeren en herstellen. Vraag ook onze gratis technische website scan aan, Walter kijkt dan meteen of er andere aandachtspunten zijn.
Veelgestelde vragen over WordPress updates
Hoe vaak moet ik WordPress updaten?
Controleer wekelijks op beschikbare updates voor plugins, thema’s en WordPress core. Beveiligingsupdates voer je zo snel mogelijk uit, bij voorkeur binnen een paar dagen na verschijnen. Grote core-updates kun je iets langer uitstellen om te wachten op compatibiliteitsupdates van plugins.
Zijn automatische WordPress updates veilig?
Voor kleine core-updates wel, die bevatten over het algemeen alleen beveiligingsfixes en zijn stabiel. Voor plugin-updates is automatisch updaten riskanter, omdat plugins van wisselende kwaliteit zijn en een update soms conflicten veroorzaakt. Stel automatische plugin-updates selectief in voor plugins die je vertrouwt. En bij twijfel? Niet doen!
Wat gebeurt er als ik WordPress niet update?
Verouderde software bevat bekende kwetsbaarheden die hackers actief uitbuiten. Bots scannen het internet continu op WordPress-sites met verouderde plugins en thema’s. Naast het beveiligingsrisico wordt je site ook langzamer en kunnen er compatibiliteitsproblemen ontstaan.
In welke volgorde moet ik WordPress updates uitvoeren?
Wij adviseren de volgende volgorde: maak eerst een back-up, update daarna plugins, dan thema’s en ten slotte WordPress core. Controleer na elke stap of de site nog goed werkt. Zo kun je bij een probleem makkelijker achterhalen welke update de oorzaak is.
Wat doe ik als mijn website niet meer werkt na een update?
Herstel de back-up die je voor de update hebt gemaakt. Schakel daarna plugins één voor één uit om te achterhalen welke plugin het conflict veroorzaakte. Controleer vervolgens of er een update of alternatief beschikbaar is voor die plugin. Lukt het niet zelf, schakel dan een specialist in.
Wil je weten of alle WordPress updates op jouw site actueel zijn?
Walter controleert alles als onderdeel van de gratis technische website scan.
Een ssl certificaat wordpress is inmiddels een basisvereiste voor elke website. Het zorgt voor een beveiligde verbinding tussen jouw site en de bezoeker, zichtbaar via het slotje in de adresbalk en het HTTPS-voorvoegsel in de URL. Maar een ssl certificaat is meer dan alleen dat slotje. Het heeft directe invloed op het vertrouwen van bezoekers, je positie in Google en de veiligheid van gegevens die via jouw site worden verzonden. In dit artikel leggen we uit wat een ssl certificaat is, waarom je het nodig hebt en hoe je controleert of het goed werkt.
Key Takeaways
- Een SSL-certificaat zorgt voor een versleutelde verbinding tussen jouw website en de bezoeker.
- Zonder SSL markeert Google Chrome je site als ‘niet veilig’, wat bezoekers direct afschrikt.
- SSL is een rankingfactor voor Google: websites met HTTPS scoren beter dan sites zonder.
- Een SSL-certificaat is gratis beschikbaar via Let’s Encrypt en wordt door elke serieuze hostingprovider aangeboden.
Wat is een SSL-certificaat?
SSL staat voor Secure Sockets Layer en is een beveiligingsprotocol dat de verbinding tussen een browser en een webserver versleutelt. Daardoor kunnen gegevens die via jouw site worden verzonden – zoals contactformulieren, inloggegevens of betalingsinformatie – niet worden onderschept door derden.
Als een website een geldig ssl certificaat heeft, verschijnt er in de adresbalk een slotje en begint de URL met HTTPS in plaats van HTTP. Dat is zichtbaar voor elke bezoeker. En het ontbreken ervan dus ook.
Waarom heeft jouw WordPress-website een SSL-certificaat nodig?
Er zijn drie goede redenen om een ssl certificaat te hebben op je wordpress-site.
Google Chrome markeert je site als 'niet veilig'
Websites zonder SSL krijgen in Google Chrome de melding ‘Niet veilig’ in de adresbalk. Dat is direct zichtbaar voor elke bezoeker die jouw site bezoekt. Uit onderzoek blijkt dat een grote meerderheid van de internetgebruikers een website verlaat zodra die melding verschijnt. Dat heeft dus directe gevolgen voor je bezoekerscijfers en conversie.
SSL is een rankingfactor voor Google
Google geeft de voorkeur aan veilige websites. Dat betekent dat twee vergelijkbare pagina’s, waarvan de één HTTPS gebruikt en de ander niet, de HTTPS-variant beter scoort in de zoekresultaten. SSL is dus niet alleen een beveiligingsmaatregel, maar ook belangrijk voor je vindbaarheid.
Vertrouwen en conversie
Bezoekers zijn zich steeds bewuster van online veiligheid. Zeker bij webshops of websites met een contactformulier verwachten bezoekers een beveiligde verbinding. Een zichtbaar slotje vergroot het vertrouwen en verhoogt daarmee de kans dat iemand een formulier invult of een aankoop doet.
Hoe controleer je het SSL-certificaat van je WordPress-site?
Er zijn verschillende manieren om te controleren of jouw ssl certificaat wordpress goed werkt.
Visuele check in de browser
De meest simpele manier: open je website in Google Chrome en kijk naar de adresbalk. Zie je een slotje en begint de URL met HTTPS? Dan is het ssl certificaat actief. Zie je een waarschuwingsteken of de melding ‘Niet veilig’? Dan is er iets mis.
SSL checker tools
Voor een uitgebreide check kun je gebruikmaken van een online SSL checker, zoals de tool van SSL Lab. Die controleert niet alleen of het certificaat actief is, maar ook of het goed is geconfigureerd en wanneer het verloopt.
Vervaldatum controleren
SSL-certificaten hebben een beperkte geldigheidsduur – standaard 90 dagen via Let’s Encrypt tot één jaar (commerciële certificaten). De meeste hostingproviders vernieuwen het certificaat automatisch. Toch is het goed om dat periodiek te controleren, want een verlopen certificaat geeft bezoekers een beveiligingswaarschuwing.
Hoe installeer je een SSL-certificaat op WordPress?
In de meeste gevallen hoef je een ssl certificaat niet zelf te installeren. De meeste serieuze hostingproviders bieden een gratis Let’s Encrypt-certificaat aan dat automatisch wordt ingesteld. Controleer in je hostingpanel of SSL is ingeschakeld voor jouw domein.
Redirect van HTTP naar HTTPS instellen
Na het activeren van SSL is het belangrijk dat alle HTTP-verkeer automatisch wordt doorgestuurd naar HTTPS. Dat doe je via een redirect in het .htaccess-bestand of via je caching-plugin. Sla je die stap over, dan kunnen sommige pagina’s nog steeds via de onbeveiligde HTTP-versie bereikbaar zijn.
Veelvoorkomend probleem: mixed content
Mixed content ontstaat wanneer een HTTPS-pagina toch nog HTTP-verwijzingen bevat, bijvoorbeeld naar afbeeldingen of scripts. De browser ziet dat als onveilig en toont soms een waarschuwing. Plugins als Really Simple SSL helpen bij het detecteren en oplossen van mixed content.
Veelgestelde vragen over SSL-certificaat WordPress
Heeft mijn WordPress-website een SSL-certificaat nodig?
Ja. Zonder SSL markeert Google Chrome je site als ‘niet veilig’, wat bezoekers direct afschrikt. Bovendien is HTTPS een rankingfactor voor Google. Een SSL-certificaat is gratis beschikbaar via Let’s Encrypt en wordt door de meeste hostingproviders automatisch aangeboden.
Wat is het verschil tussen HTTP en HTTPS?
HTTP is het standaard communicatieprotocol waarbij gegevens onversleuteld worden verzonden. HTTPS voegt versleuteling toe via een SSL-certificaat, zodat gegevens veilig worden overgedragen en niet kunnen worden onderschept. Alle moderne websites zouden HTTPS moeten gebruiken.
Hoe controleer ik of mijn SSL-certificaat nog geldig is?
Klik op het slotje in de adresbalk van Google Chrome en bekijk de certificaatdetails — daar staat de vervaldatum. Je kunt ook een gratis online SSL checker gebruiken, zoals die van SSL Labs. voor een volledigere controle.
Is een SSL-certificaat gratis?
Ja. Let’s Encrypt biedt gratis SSL-certificaten aan die door de meeste hostingproviders worden ondersteund en automatisch worden verlengd. Commerciële SSL-certificaten zijn ook beschikbaar en bieden soms extra garanties, maar voor de meeste websites is Let’s Encrypt meer dan voldoende.
Wat is mixed content en hoe los ik dat op?
Mixed content ontstaat wanneer een HTTPS-pagina nog verwijzingen bevat naar HTTP-bestanden, zoals afbeeldingen of scripts. De browser ziet dat als potentieel onveilig. Je lost het op door alle interne links en media-URL’s te converteren naar HTTPS. Dat kan via een plugin als Really Simple SSL of handmatig via de database.
Wil je weten of het SSL-certificaat op jouw WordPress-site correct is ingesteld?
Walter controleert het als onderdeel van de gratis technische website scan.
De php versie van wordpress is een van de meest over het hoofd geziene technische instellingen, maar ook een van de belangrijkste. PHP is namelijk de programmeertaal waarop WordPress draait. Een verouderde versie maakt je website niet alleen trager, maar vormt ook een serieus beveiligingsrisico. In dit artikel leggen we uit welke versie je nodig hebt, hoe je controleert wat jij gebruikt en hoe je bijwerkt.
Key Takeaways
- PHP is de programmeertaal waarop WordPress draait. Zonder PHP werkt WordPress niet.
- De aanbevolen PHP versie voor WordPress is op het moment van het publiceren van dit artikel 8.2 of hoger.
- Verouderde PHP-versies ontvangen geen beveiligingsupdates meer en vormen daardoor een kwetsbaarheid.
- Het bijwerken van de PHP versie is eenvoudig via je hostingpanel, maar vereist voorbereiding.
Wat is PHP en waarom is het belangrijk voor WordPress?
PHP staat voor Hypertext Preprocessor en is een programmeertaal die op de server draait. Elke keer dat iemand een pagina van jouw WordPress-site bezoekt, wordt er PHP-code uitgevoerd om die pagina samen te stellen en naar de browser te sturen. Zonder PHP werkt WordPress simpelweg niet.
Snelheid en prestaties
Nieuwere PHP-versies zijn aanzienlijk sneller dan oudere. Zo is PHP 8.2 gemiddeld twee keer zo snel als PHP 7.4 bij het verwerken van WordPress-verzoeken. Dat heeft een directe positieve invloed op de laadtijd van je site en daarmee op je PageSpeed-score en Google-positie.
Verouderde PHP is een beveiligingsrisico
Elke PHP-versie heeft een officiële supportperiode. Na het einde van die periode ontvangt de versie geen beveiligingsupdates meer. Dat betekent dat bekende kwetsbaarheden niet worden gedicht. Hierdoor wordt je website kwetsbaar. PHP-versies ouder dan 8.1 ontvangen momenteel geen actieve beveiligingsupdates meer. Gebruik je nog een oudere versie? Dan is dat een belangrijk aandachtspunt. Meer over de algehele beveiliging van je WordPress-site lees je in ons artikel over WordPress website beveiligen.
Welke PHP versie heeft WordPress nodig?
WordPress geeft zelf ook aanbevelingen voor de PHP-versie. Die zijn te vinden op de officiële WordPress-website en worden regelmatig bijgewerkt.
De aanbevolen versie
Op dit moment raadt WordPress PHP 8.2 of hoger aan. PHP 8.3 is de meest recente stabiele versie en wordt door de meeste hostingproviders ondersteund. Gebruik je nog PHP 7.x of een lagere 8.0-versie? Dan is updaten een prioriteit.
End-of-life versies
- PHP 7.4: end of life sinds november 2022, geen beveiligingsupdates meer.
- PHP 8.0: end of life sinds november 2023, geen beveiligingsupdates meer.
- PHP 8.1: actieve beveiligingsupdates tot eind 2025.
- PHP 8.2: aanbevolen versie, actief ondersteund.
- PHP 8.3: meest recente stabiele versie, actief ondersteund.
Hoe controleer je de PHP versie van je WordPress-site?
Er zijn twee eenvoudige manieren om de php versie van je wordpress-site te controleren.
Via je WordPress-dashboard
Ga in WordPress naar Tools (of Extra) → Site Health. Klik daarna op het tabblad ‘Info’ en open het onderdeel ‘Server’. Daar zie je onder andere de PHP-versie die jouw site momenteel gebruikt.
Via je hostingpanel
Bij de meeste hostingproviders kun je de PHP-versie ook bekijken en wijzigen via het configuratiepanel. Dit is vaak cPanel, DirectAdmin, Plesk of een eigen omgeving. Zoek naar ‘PHP versie’ of ‘PHP configuratie’ in je hostingpanel.
Hoe update je de PHP versie van WordPress?
Het updaten van de php versie wordpress is in de meeste gevallen eenvoudig, maar vraagt wel voorbereiding. Volg deze stappen om het veilig te doen.
Stap 1: Maak een volledige back-up
Maak eerst een back-up van je website, zowel de bestanden als de database. Zo kun je altijd terugkeren naar de vorige situatie als er iets misgaat na de update.
Stap 2: Controleer je plugins en thema op compatibiliteit
Niet alle plugins zijn direct compatibel met de nieuwste PHP-versie. Controleer in het WordPress-dashboard of er plugin-updates beschikbaar zijn en installeer die eerst. Kijk ook in de documentatie van je thema of het de nieuwe versie ondersteunt.
Stap 3: Update de PHP-versie via je hostingpanel
Log in bij je hostingprovider en zoek de PHP-versie-instelling. Selecteer de gewenste versie (bij voorkeur PHP 8.2 of 8.3) en sla de wijziging op. Controleer daarna direct of je website nog correct werkt.
Wat als een plugin niet werkt na de update?
Werkt een plugin niet meer goed na de PHP-update? Controleer dan of er een update van die plugin beschikbaar is. Is dat niet het geval, kijk dan een alternatief. Verouderde plugins die niet meer worden bijgehouden zijn sowieso een risico, ook los van de PHP-versie. Lees meer in ons artikel over WordPress updates.
Veelgestelde vragen over PHP versie WordPress
Welke PHP versie moet ik gebruiken voor WordPress?
WordPress raadt op het moment dat we dit artikel schrijven PHP 8.2 of hoger aan. PHP 8.3 is de meest recente stabiele versie en wordt breed ondersteund. Gebruik je nog een versie lager dan 8.1? Dan is updaten urgent, omdat oudere versies geen beveiligingsupdates meer ontvangen.
Hoe controleer ik welke PHP versie mijn WordPress-site gebruikt?
Ga in je WordPress-dashboard naar Tools → Site Health → Info → Server. Daar zie je de huidige PHP-versie. Je kunt ook het hostingpanel van je hostigprovider controleren.
Is het gevaarlijk om de PHP versie te updaten?
Niet als je je goed voorbereid. Maak altijd eerst een back-up en controleer of je plugins en thema compatibel zijn. In de meeste gevallen verloopt de update zonder problemen. Ga je van een oude versie (7.x) naar een nieuwe (8.2), dan raden we aan de update eerst op een testomgeving te doen.
Wat gebeurt er als ik een verouderde PHP versie gebruik?
Een verouderde PHP-versie ontvangt geen beveiligingsupdates meer. Dat maakt je site kwetsbaar voor hacks. Bovendien werkt WordPress trager op een oude PHP-versie. Nieuwere PHP-versies zijn gemiddeld aanzienlijk sneller.
Kan ik de PHP versie zelf updaten?
Ja, via het hostingpanel van je provider. Zoek naar ‘PHP versie’ of ‘PHP configuratie’. Maak wel eerst een back-up en controleer na de update of alles nog werkt. Twijfel je? Neem dan contact met ons op!
Weet je niet welke PHP-versie jouw site gebruikt?
Walter controleert het als onderdeel van de gratis technische website scan, inclusief alle andere technische aandachtspunten.
Veel ondernemers denken dat ze te klein zijn om een doelwit te zijn voor hackers. Maar als het gaat om een wordpress website beveiligen dan klopt die aanname niet. De meeste aanvallen zijn namelijk geautomatiseerd: bots scannen het internet continu op bekende kwetsbaarheden. Daarbij maakt het niet uit hoe groot of klein jouw website is. In dit artikel leggen we uit welke risico’s er zijn, hoe je ze herkent en wat je kunt doen om jouw WordPress-site goed te beveiligen.
Key Takeaways
- 43% van alle websites wereldwijd draait op WordPress. Hierdoor is het een populair doelwit voor geautomatiseerde aanvallen.
- De meest voorkomende oorzaken van een hack zijn verouderde plugins, zwakke wachtwoorden en een slecht beveiligde loginpagina.
- De meeste beveiligingsmaatregelen zijn gratis te nemen en het mooiste: je hebt er geen technische kennis voor nodig.
Waarom is WordPress een geliefd doelwit?
Doordat WordPress zoveel wordt gebruikt, is het een interessant doelwit om aanvallen te automatiseren. Een bot die een bekende kwetsbaarheid in een populaire plugin uitbuit, kan daarmee in theorie duizenden sites tegelijk aanvallen. Dat maakt jouw website beveiligen niet optioneel, ook al heb je maar een kleine site of webshop.
Wat zijn de gevolgen van een gehackte website?
De gevolgen van een hack zijn groter dan de meeste ondernemers verwachten. Zo kan een aanvaller jouw site gebruiken om spam te versturen, bezoekers doorsturen naar malafide websites of klantgegevens stelen. Bovendien verwijdert Google gehackte sites uit de zoekresultaten, iets wat jou direct verkeer en omzet kost. Het herstellen van een hack is daarnaast ook ontzettend tijdrovend en duur. Dus ook hier is voorkomen beter dan genezen.
Ben je al gehackt? Lees dan ons artikel over wat je kunt doen als je WordPress-website gehackt is voor de stappen die je direct kunt zetten.
De basis van een veilige WordPress-website
Gelukkig zijn er een aantal basismaatregelen die je relatief makkelijk zelf kunt nemen om jouw wordpress website te beveiligen. Hieronder bespreken we de belangrijkste.
Houd WordPress, plugins en thema's altijd up-to-date
Verouderde software is veruit de meest voorkomende oorzaak van gehackte WordPress-sites. Elke update bevat namelijk niet alleen nieuwe functies, maar ook beveiligingspatches voor bekende kwetsbaarheden. Zodra een kwetsbaarheid publiek bekend is, beginnen bots actief op zoek te gaan naar sites die de update nog niet hebben uitgevoerd.
Voer updates daarom zo snel mogelijk uit nadat ze beschikbaar zijn. Maak daarvoor wel eerst een back-up van je site. Meer over het veilig uitvoeren van updates lees je in ons artikel over WordPress updates.
Gebruik sterke wachtwoorden en tweefactorauthenticatie
Een zwak wachtwoord is een open deur. Gebruik daarom altijd een wachtwoord van minimaal 12 tekens met een combinatie van letters, cijfers en speciale tekens. Een wachtwoordmanager zoals 1Password of Proton (EU based) helpt je daarbij. Zet daarnaast ook tweefactorauthenticatie (2FA) aan voor je WordPress-adminaccount. Het voordeel daarvan is dat ook al is je wachtwoord uitgelekt, een aanvaller heeft nog steeds geen toegang.
Beperk de toegang tot je loginpagina
De standaard WordPress-loginpagina is te vinden op /wp-admin of /wp-login.php. Bots proberen die adressen automatisch. Je kunt de loginpagina verplaatsen naar een ander adres of het aantal inlogpogingen beperken via een plugin. Dat maakt geautomatiseerde aanvallen al een stuk moeilijker.
Beveiligingsplugins voor WordPress
Er zijn goede plugins die het beveiligen van je wordpress website automatisch ondersteunen. De twee meest gebruikte zijn de volgende.
Wordfence Security
Wordfence is een van de populairste beveiligingsplugins voor WordPress. De gratis versie biedt een firewall, malwarescanner en bescherming tegen brute-force-aanvallen. De plugin stuurt ook meldingen als er verdachte activiteit wordt gedetecteerd. Dat is handig, want zo weet je snel of er iets mis is.
Solid Security (voorheen iThemes Security)
Solid Security is een andere veelgebruikte optie. Bovendien is het instellen ervan eenvoudig via een stappenplan in de plugin zelf. De gratis versie dekt de belangrijkste basismaatregelen zoals het beperken van inlogpogingen, het detecteren van bestandswijzigingen en het verbergen van de WordPress-versie.
SSL-certificaat en HTTPS
Een SSL-certificaat zorgt voor een beveiligde verbinding tussen jouw website en de bezoeker. Daardoor worden gegevens versleuteld verzonden en ziet de bezoeker het slotje in de adresbalk. Zonder SSL markeert Google Chrome je site als ‘niet veilig’, ditt wekt direct wantrouwen bij bezoekers.
Bovendien gebruikt Google HTTPS als rankingfactor. Dus naast de veiligheid heeft een SSL-certificaat ook invloed op je positie in de zoekresultaten. Meer over SSL en hoe je controleert of het correct is ingesteld, lees je in ons artikel over SSL-certificaten voor WordPress.
PHP-versie en serverinstellingen
Een verouderde PHP-versie vormt een beveiligingsrisico, omdat oudere versies geen beveiligingsupdates meer ontvangen. Controleer daarom welke PHP-versie jouw WordPress-site gebruikt en update die indien nodig. In ons artikel over de PHP-versie van WordPress leggen we stap voor stap uit hoe je dat doet.
Veelgestelde vragen over WordPress website beveiligen
Hoe weet ik of mijn WordPress-website beveiligd is?
Je kunt je website laten scannen met een tool als Wordfence of Sucuri SiteCheck. Die controleren op bekende malware en kwetsbaarheden. Voor een completere analyse – inclusief serverinstellingen, PHP-versie en loginbeveiliging – is een handmatige controle door een specialist zinvoller.
Welke plugins zijn goed voor WordPress beveiliging?
De meest gebruikte en betrouwbare opties zijn Wordfence Security en Solid Security. Beide bieden een gratis versie die de basisbeveiliging dekt. Kies altijd plugins met veel actieve installaties, recente updates en goede reviews.
Hoe voorkom ik dat mijn WordPress-site gehackt wordt?
De meest effectieve maatregelen zijn: software altijd up-to-date houden, sterke wachtwoorden gebruiken met tweefactorauthenticatie, een beveiligingsplugin installeren en een SSL-certificaat gebruiken. Maak daarnaast regelmatig back-ups zodat je bij een incident snel kunt herstellen.
Is een SSL-certificaat verplicht voor WordPress?
Technisch gezien niet, maar in de praktijk wel. Google Chrome markeert sites zonder SSL als ‘niet veilig’, wat bezoekers afschrikt. Bovendien is SSL een rankingfactor voor Google. De meeste hostingproviders bieden een gratis SSL-certificaat via Let’s Encrypt.
Wat moet ik doen als mijn WordPress-site gehackt is?
Zet je site direct in onderhoudsmodus, maak een back-up van de huidige staat en reset alle wachtwoorden. Scan daarna op malware via Wordfence of Sucuri en verwijder verdachte bestanden of gebruikers. Neem ook contact op met je hostingprovider. Voor een uitgebreid stappenplan, lees ons artikel over WordPress website gehackt.
Wil je weten hoe veilig jouw WordPress-site is?
Walter controleert de beveiliging, je SSL-certificaat en plugin-kwetsbaarheden als onderdeel van de gratis en vrijblijvende technische website scan.
Als jouw WordPress website gehackt is, voelt dat overweldigend. Toch is het belangrijk om rustig te blijven en de juiste stappen te zetten. In dit artikel leggen we uit hoe je een hack herkent, wat je direct kunt doen en hoe je voorkomt dat het opnieuw gebeurt.
Key Takeaways
- WordPress websites worden vaak gehackt via verouderde plugins, thema’s of zwakke wachtwoorden – niet omdat jouw site speciaal is uitgekozen.
- Er zijn duidelijke signalen die aangeven dat je site gehackt is, zoals vreemde omleidingen, spam in Google of onbekende gebruikers in je dashboard.
- Na een hack zijn er concrete stappen die je kunt zetten – maar laat daarna altijd een specialist controleren of alles echt schoon is.
Hoe weet je of je WordPress website gehackt is?
Soms is een hack meteen duidelijk. Je opent je website en ziet een melding van hackers, of je homepage is compleet vervangen. Vaak is het echter subtiele – en daardoor juist gevaarlijker. Dit zijn de meest voorkomende signalen:
Je website wordt omgeleid naar een andere site
Bezoekers komen op jouw website terecht, maar worden direct doorgestuurd naar een andere pagina – vaak een webshop vol namaakproducten of een phishingpagina. Jij ziet dit misschien niet zelf, omdat hackers slimme omleidingen instellen die alleen voor nieuwe bezoekers gelden.
Google geeft een waarschuwing
Zoek je op jouw bedrijfsnaam en zie je in de zoekresultaten teksten over Viagra, casino’s of andere spam staan? Dan heeft een hacker content aan jouw site toegevoegd om zijn eigen website hoger in Google te krijgen. Dit heet SEO-spam en is een veelvoorkomende vorm van WordPress hacking.
Je kunt niet meer inloggen
Als jouw wachtwoord plotseling niet meer werkt en je ook via “wachtwoord vergeten” geen toegang krijgt, is er mogelijk een onbekende beheerder aangemaakt die jou heeft buitengesloten.
Je hostingprovider heeft je account geblokkeerd
Veel hostingproviders monitoren automatisch op verdachte activiteit. Daardoor krijg je soms een melding dat je account is opgeschort vanwege spam of malware – vaak het eerste teken dat er iets mis is
Er staan onbekende bestanden of gebruikers op je site
Log je in op je WordPress dashboard en zie je gebruikers die je niet herkent? Of vind je via je hosting bestanden in mappen waar ze niet horen? Dan is de kans groot dat iemand ongeautoriseerde toegang heeft gehad.
Waarom worden WordPress websites gehackt?
Een veelgehoord misverstand is dat hackers specifiek jouw website uitkiezen. Dat is zelden het geval. Daarom is het goed om te begrijpen hoe het eigenlijk werkt: hackers gebruiken geautomatiseerde tools die het internet afzoeken naar bekende kwetsbaarheden. Bovendien richten ze zich juist op kleinere websites, omdat die vaak minder goed beveiligd zijn.
De meest voorkomende oorzaken zijn:
Verouderde plugins of thema’s – elke plugin die je niet bijhoudt, is een potentieel beveiligingslek. Zodra een kwetsbaarheid bekend wordt, brengen ontwikkelaars een update uit. Installeer je die update niet, dan blijft het lek open staan.
Zwakke wachtwoorden – een wachtwoord als “wordpress123” of je bedrijfsnaam is in seconden te raden. Hackers gebruiken geautomatiseerde tools die duizenden combinaties per minuut proberen.
Goedkope of slecht geconfigureerde hosting – niet elke hostingprovider heeft dezelfde beveiligingsmaatregelen. Goedkope hosting betekent helaas vaak ook minder bescherming.
Nulled plugins of thema’s – gratis versies van betaalde plugins of thema’s die je ergens op internet vindt, bevatten vaak verborgen malware. Het lijkt aantrekkelijk, maar het risico is enorm.
Geen twee-factor-authenticatie – zonder extra verificatiestap bij het inloggen is je dashboard kwetsbaar voor iedereen die je wachtwoord weet te raden.
Wat moet je direct doen als je WordPress website gehackt is?
Ontdek je dat je website gehackt is? Zet dan deze stappen – in deze volgorde
Stap 1: Zet je website tijdelijk offline
Zet je website direct in onderhoudsmodus of schakel hem tijdelijk uit via je hostingpanel. Zo voorkom je dat bezoekers op een gehackte pagina terechtkomen en dat eventuele malware zich verder verspreidt.
Stap 2: Wijzig alle wachtwoorden
Verander direct je WordPress beheerderswachtwoord, je hosting wachtwoord en je e-mailwachtwoord. Gebruik lange, unieke wachtwoorden en sla ze op in een wachtwoordmanager. Controleer daarna ook meteen of er onbekende beheerders in je dashboard staan en verwijder die.
Stap 3: Maak een back-up
Maak een volledige back-up van je website, ook al is die gehackt. Daardoor heb je in ieder geval alle content bewaard terwijl je het probleem oplost. Sla de back-up op buiten je server, bijvoorbeeld op je eigen computer.
Stap 4: Scan op malware
Installeer een beveiligingsplugin zoals Wordfence of Sucuri en voer een volledige scan uit. Deze tools zoeken naar verdachte bestanden, onbekende code en bekende malwarepatronen. Let op: een geautomatiseerde scan vindt niet altijd alles – handmatige controle door een specialist is betrouwbaarder.
Stap 5: Update alles
Zorg dat WordPress zelf, al je plugins en je thema up-to-date zijn. Verwijder daarna alle plugins en thema’s die je niet gebruikt. Elk ongebruikt onderdeel is een potentieel beveiligingsrisico.
Stap 6: Laat het controleren door een specialist
Dit is de stap die de meeste mensen overslaan – en dat is jammer. Want ook na het opschonen van je site kunnen er achterdeurtjes achterblijven waarmee hackers later opnieuw toegang krijgen. Daardoor is een professionele check na een hack altijd verstandig.
Hoe voorkom je dat je WordPress website opnieuw gehackt wordt?
Een hack is vervelend, maar het goede nieuws is dat je met een paar concrete maatregelen de kans op herhaling sterk verkleint.
Houd alles up-to-date – update WordPress, je thema’s en plugins zodra er een nieuwe versie beschikbaar is. Schakel automatische updates in voor kleine beveiligingsupdates.
Gebruik sterke, unieke wachtwoorden – en gebruik twee-factor-authenticatie voor je WordPress dashboard. Daardoor heeft een hacker die je wachtwoord weet toch nog een extra verificatiestap nodig.
Kies goede hosting – investeer in een hostingprovider die gespecialiseerd is in WordPress en actief monitort op verdachte activiteit. Bovendien bieden goede hosters vaak automatische back-ups en malwarescans.
Maak regelmatig back-ups – niet alleen na een hack, maar standaard. Zo kun je bij problemen altijd terug naar een schone versie.
Installeer een beveiligingsplugin – plugins zoals Wordfence of iThemes Security bewaken je site actief en waarschuwen je bij verdachte inlogpogingen of onbekende bestandswijzigingen.
Laat periodiek een technische check uitvoeren – een specialist ziet dingen die geautomatiseerde tools missen. Zeker als je website belangrijk is voor je bedrijf, is een periodieke controle de moeite waard.
Veelgestelde vragen over een gehackte WordPress website
Hoe weet ik of mijn WordPress website gehackt is?
Veelvoorkomende signalen zijn: vreemde omleidingen naar andere websites, spamteksten in Google-resultaten, onbekende gebruikers in je dashboard, waarschuwingen van je hostingprovider of een website die plotseling traag is of er anders uitziet.
Waarom is mijn WordPress website gehackt?
Meestal komt het door verouderde plugins of thema’s, een zwak wachtwoord of een onveilige hostingomgeving. Hackers kiezen zelden bewust voor jouw site – ze gebruiken geautomatiseerde tools die kwetsbaarheden scannen.
Wat moet ik als eerste doen na een hack?
Zet je website tijdelijk offline, wijzig alle wachtwoorden en maak een back-up. Daarna kun je verder met het opschonen van de site. Laat tot slot een specialist controleren of alles echt schoon is.
Kan ik een gehackte WordPress website zelf herstellen?
Dat hangt af van de ernst van de hack en je technische kennis. Sommige stappen — zoals wachtwoorden wijzigen en plugins updaten – kun je zelf doen. Voor het volledig opschonen van malware en het dichten van beveiligingslekken is echter specialistische kennis nodig.
Hoe voorkom ik dat mijn WordPress website opnieuw gehackt wordt?
Houd WordPress, plugins en thema’s altijd up-to-date, gebruik sterke wachtwoorden met twee-factor-authenticatie, kies voor betrouwbare hosting en laat periodiek een technische controle uitvoeren.
Mijn website is gehackt en ik kan niet meer inloggen - wat nu?
Neem contact op met je hostingprovider. Via het hostingpanel kun je vaak nog toegang krijgen tot je bestanden en database. Een specialist kan je helpen om toegang te herstellen en de hack te verhelpen.
Hoe lang duurt het om een gehackte WordPress website te herstellen?
Dat verschilt per situatie. Een eenvoudige malware-infectie is soms in een paar uur opgelost. Bij ernstigere hacks, waarbij bestanden of de database zijn aangetast, kan het langer duren. Daardoor is snelle actie altijd beter.
Moet ik een hack melden?
Als er persoonsgegevens van klanten of bezoekers zijn gelekt, ben je verplicht dit te melden bij de Autoriteit Persoonsgegevens. Twijfel je of dit het geval is? Raadpleeg dan een specialist.
Niet zeker of jouw website veilig is? Laat onze specialist er gratis naar kijken.
Gratis technische website scan
Ontdek hoe jouw website er écht voorstaat met de gratis en vrijblijvende technische website scan van WPSherpa. Onze specialist Walter negro bekijkt je site volledig met de had en geeft je tips om direct meer uit je website te halen.
