Veel ondernemers denken dat ze te klein zijn om een doelwit te zijn voor hackers. Maar als het gaat om een wordpress website beveiligen dan klopt die aanname niet. De meeste aanvallen zijn namelijk geautomatiseerd: bots scannen het internet continu op bekende kwetsbaarheden. Daarbij maakt het niet uit hoe groot of klein jouw website is. In dit artikel leggen we uit welke risico’s er zijn, hoe je ze herkent en wat je kunt doen om jouw WordPress-site goed te beveiligen.
Key Takeaways
- 43% van alle websites wereldwijd draait op WordPress. Hierdoor is het een populair doelwit voor geautomatiseerde aanvallen.
- De meest voorkomende oorzaken van een hack zijn verouderde plugins, zwakke wachtwoorden en een slecht beveiligde loginpagina.
- De meeste beveiligingsmaatregelen zijn gratis te nemen en het mooiste: je hebt er geen technische kennis voor nodig.
Waarom is WordPress een geliefd doelwit?
Doordat WordPress zoveel wordt gebruikt, is het een interessant doelwit om aanvallen te automatiseren. Een bot die een bekende kwetsbaarheid in een populaire plugin uitbuit, kan daarmee in theorie duizenden sites tegelijk aanvallen. Dat maakt jouw website beveiligen niet optioneel, ook al heb je maar een kleine site of webshop.
Wat zijn de gevolgen van een gehackte website?
De gevolgen van een hack zijn groter dan de meeste ondernemers verwachten. Zo kan een aanvaller jouw site gebruiken om spam te versturen, bezoekers doorsturen naar malafide websites of klantgegevens stelen. Bovendien verwijdert Google gehackte sites uit de zoekresultaten, iets wat jou direct verkeer en omzet kost. Het herstellen van een hack is daarnaast ook ontzettend tijdrovend en duur. Dus ook hier is voorkomen beter dan genezen.
Ben je al gehackt? Lees dan ons artikel over wat je kunt doen als je WordPress-website gehackt is voor de stappen die je direct kunt zetten.
De basis van een veilige WordPress-website
Gelukkig zijn er een aantal basismaatregelen die je relatief makkelijk zelf kunt nemen om jouw wordpress website te beveiligen. Hieronder bespreken we de belangrijkste.
Houd WordPress, plugins en thema's altijd up-to-date
Verouderde software is veruit de meest voorkomende oorzaak van gehackte WordPress-sites. Elke update bevat namelijk niet alleen nieuwe functies, maar ook beveiligingspatches voor bekende kwetsbaarheden. Zodra een kwetsbaarheid publiek bekend is, beginnen bots actief op zoek te gaan naar sites die de update nog niet hebben uitgevoerd.
Voer updates daarom zo snel mogelijk uit nadat ze beschikbaar zijn. Maak daarvoor wel eerst een back-up van je site. Meer over het veilig uitvoeren van updates lees je in ons artikel over WordPress updates.
Gebruik sterke wachtwoorden en tweefactorauthenticatie
Een zwak wachtwoord is een open deur. Gebruik daarom altijd een wachtwoord van minimaal 12 tekens met een combinatie van letters, cijfers en speciale tekens. Een wachtwoordmanager zoals 1Password of Proton (EU based) helpt je daarbij. Zet daarnaast ook tweefactorauthenticatie (2FA) aan voor je WordPress-adminaccount. Het voordeel daarvan is dat ook al is je wachtwoord uitgelekt, een aanvaller heeft nog steeds geen toegang.
Beperk de toegang tot je loginpagina
De standaard WordPress-loginpagina is te vinden op /wp-admin of /wp-login.php. Bots proberen die adressen automatisch. Je kunt de loginpagina verplaatsen naar een ander adres of het aantal inlogpogingen beperken via een plugin. Dat maakt geautomatiseerde aanvallen al een stuk moeilijker.
Beveiligingsplugins voor WordPress
Er zijn goede plugins die het beveiligen van je wordpress website automatisch ondersteunen. De twee meest gebruikte zijn de volgende.
Wordfence Security
Wordfence is een van de populairste beveiligingsplugins voor WordPress. De gratis versie biedt een firewall, malwarescanner en bescherming tegen brute-force-aanvallen. De plugin stuurt ook meldingen als er verdachte activiteit wordt gedetecteerd. Dat is handig, want zo weet je snel of er iets mis is.
Solid Security (voorheen iThemes Security)
Solid Security is een andere veelgebruikte optie. Bovendien is het instellen ervan eenvoudig via een stappenplan in de plugin zelf. De gratis versie dekt de belangrijkste basismaatregelen zoals het beperken van inlogpogingen, het detecteren van bestandswijzigingen en het verbergen van de WordPress-versie.
SSL-certificaat en HTTPS
Een SSL-certificaat zorgt voor een beveiligde verbinding tussen jouw website en de bezoeker. Daardoor worden gegevens versleuteld verzonden en ziet de bezoeker het slotje in de adresbalk. Zonder SSL markeert Google Chrome je site als ‘niet veilig’, ditt wekt direct wantrouwen bij bezoekers.
Bovendien gebruikt Google HTTPS als rankingfactor. Dus naast de veiligheid heeft een SSL-certificaat ook invloed op je positie in de zoekresultaten. Meer over SSL en hoe je controleert of het correct is ingesteld, lees je in ons artikel over SSL-certificaten voor WordPress.
PHP-versie en serverinstellingen
Een verouderde PHP-versie vormt een beveiligingsrisico, omdat oudere versies geen beveiligingsupdates meer ontvangen. Controleer daarom welke PHP-versie jouw WordPress-site gebruikt en update die indien nodig. In ons artikel over de PHP-versie van WordPress leggen we stap voor stap uit hoe je dat doet.
Veelgestelde vragen over WordPress website beveiligen
Hoe weet ik of mijn WordPress-website beveiligd is?
Je kunt je website laten scannen met een tool als Wordfence of Sucuri SiteCheck. Die controleren op bekende malware en kwetsbaarheden. Voor een completere analyse – inclusief serverinstellingen, PHP-versie en loginbeveiliging – is een handmatige controle door een specialist zinvoller.
Welke plugins zijn goed voor WordPress beveiliging?
De meest gebruikte en betrouwbare opties zijn Wordfence Security en Solid Security. Beide bieden een gratis versie die de basisbeveiliging dekt. Kies altijd plugins met veel actieve installaties, recente updates en goede reviews.
Hoe voorkom ik dat mijn WordPress-site gehackt wordt?
De meest effectieve maatregelen zijn: software altijd up-to-date houden, sterke wachtwoorden gebruiken met tweefactorauthenticatie, een beveiligingsplugin installeren en een SSL-certificaat gebruiken. Maak daarnaast regelmatig back-ups zodat je bij een incident snel kunt herstellen.
Is een SSL-certificaat verplicht voor WordPress?
Technisch gezien niet, maar in de praktijk wel. Google Chrome markeert sites zonder SSL als ‘niet veilig’, wat bezoekers afschrikt. Bovendien is SSL een rankingfactor voor Google. De meeste hostingproviders bieden een gratis SSL-certificaat via Let’s Encrypt.
Wat moet ik doen als mijn WordPress-site gehackt is?
Zet je site direct in onderhoudsmodus, maak een back-up van de huidige staat en reset alle wachtwoorden. Scan daarna op malware via Wordfence of Sucuri en verwijder verdachte bestanden of gebruikers. Neem ook contact op met je hostingprovider. Voor een uitgebreid stappenplan, lees ons artikel over WordPress website gehackt.
Wil je weten hoe veilig jouw WordPress-site is?
Walter controleert de beveiliging, je SSL-certificaat en plugin-kwetsbaarheden als onderdeel van de gratis en vrijblijvende technische website scan.
