Misschien heb je er wel eens van gehoord: een DDoS aanval. Maar wat is een DDoS aanval nou precies en waarom vormt het zo’n groot gevaar voor jouw WordPress website? Veel ondernemers denken dat WordPress veilig genoeg is omdat de code goed geschreven is.

Dat klopt ook, WordPress zelf is veilig opgebouwd. Maar, een DDoS aanval richt zich niet op de code van je site, maar op de server waar je site draait. Daarom kan iedere website, groot of klein, slachtoffer worden.

In dit artikel leggen we stap voor stap uit wat een DDoS aanval is, hoe het werkt, wat de gevolgen zijn, hoe je het kunt herkennen en vooral hoe je het kunt voorkomen. We gebruiken eenvoudige taal, zodat ook als je geen technische kennis hebt je alles goed begrijpt.

Wat is een DDoS aanval?

Een DDoS aanval staat voor “Distributed Denial of Service”. Dat betekent letterlijk: een verspreide aanval die ervoor zorgt dat een dienst (in dit geval jouw website) niet meer bereikbaar is.

Bij een gewone DoS aanval komt al het verkeer van één computer of server. Dat is vaak nog te blokkeren. Maar bij een DDoS aanval komt het verkeer van duizenden verschillende apparaten tegelijk. Deze apparaten zijn vaak onderdeel van een zogenaamd “botnet”: een netwerk van gehackte computers die door hackers bestuurd worden.

Het resultaat is dat jouw website overspoeld wordt met nepverkeer. Stel je voor: je winkel op straat wordt overspoeld door honderden mensen die alleen maar binnenkomen om rond te kijken, zonder iets te kopen. Echte klanten kunnen de deur niet meer door. Dat is precies wat er online gebeurt bij een DDoS aanval.

Hoe werkt een DDoS aanval?

Wat is een DDoS aanval? Hoe werkt een DDoS aanval uitgebeeld met hackers achter laptops
Hoe werkt een DDoS aanval? Twee personen met laptops symboliseren de samenwerking bij een digitale aanval.

De aanvallers sturen duizenden of zelfs miljoenen verzoeken tegelijk naar jouw website. Elk verzoek vraagt om een reactie van je server. Omdat een server maar een beperkte capaciteit heeft, raakt hij overbelast. Je website wordt daardoor eerst langzaam en valt daarna helemaal uit.

Dit kan minuten duren, maar ook dagen. Hoe langer de aanval, hoe groter de schade. Vaak gebruiken criminelen dit soort aanvallen om:

  • Geld af te persen (“betaal ons, dan stoppen we de aanval”).
  • Concurrenten te saboteren.
  • Politieke of persoonlijke redenen uit te spelen.
  • Of simpelweg voor de lol, omdat ze het kunnen.

Wat zijn de gevolgen van een DDoS aanval?

De gevolgen zijn groot. Enkele voorbeelden:

  • Website offline: jouw bezoekers zien een foutmelding of krijgen helemaal geen toegang meer.
  • Verlies van klanten: wie een webshop heeft, raakt direct bestellingen kwijt.
  • Slechte gebruikerservaring: bezoekers die traagheid ervaren, keren vaak niet meer terug.
  • Schade aan je merk: mensen verliezen vertrouwen in je site en je bedrijf.
  • Extra kosten: je moet vaak dure technische hulp inhuren om de aanval te stoppen.

Vooral voor kleine ondernemers kan één aanval al funest zijn.

Verschil tussen een DDoS aanval en een Brute Force aanval

Veel mensen halen deze twee door elkaar. Toch zijn ze heel verschillend:

  • Bij een DDoS aanval gaat het om overbelasting. De server krijgt zoveel verzoeken dat hij crasht.
  • Bij een Brute Force aanval probeert iemand keer op keer in te loggen met verschillende wachtwoorden totdat het juiste wachtwoord gevonden is.

Beide aanvallen zijn gevaarlijk, maar hebben een andere aanpak nodig om ze te stoppen.

Hoe herken je een DDoS aanval?

Het kan lastig zijn om meteen door te hebben dat je slachtoffer bent. Toch zijn er duidelijke signalen:

  • Je site wordt ineens heel traag zonder dat je veel bezoekers hebt.
  • Je krijgt meldingen dat je site niet bereikbaar is.
  • Je hosting laat zien dat er heel veel verkeer komt van onbekende of verdachte IP-adressen.
  • Je ziet inlogpogingen of mislukte verzoeken in je beveiligingsplugins.

Met plugins zoals Sucuri of All In One WP Security & Firewall kun je dit makkelijker controleren. Ze laten zien hoeveel verzoeken er binnenkomen en of er sprake is van verdachte activiteit.

1. Controleren met de Sucuri plugin

  • Installeer en activeer de plugin Sucuri Security.
  • Na activatie verschijnt in je WordPress-dashboard een nieuw menu Sucuri Security.
  • Klik daarop en ga naar Last Logins.
  • Bovenin vind je verschillende tabbladen. Klik op Failed Logins.
  • Hier zie je een lijst met alle mislukte inlogpogingen, inclusief IP-adres, tijd en gebruikersnaam.
    → Zie je in korte tijd héél veel pogingen of veel verzoeken vanaf hetzelfde IP? Dat kan wijzen op een aanval (DDoS of brute force).

2. Controleren met All In One WP Security & Firewall

  • Installeer en activeer de plugin All In One WP Security & Firewall.
  • In je dashboard verschijnt een nieuw menu Beveiliging (Security).
  • Ga naar User Login → Failed Login Records.
  • Hier zie je alle mislukte loginpogingen. Ook kun je zien of er meerdere verzoeken tegelijk binnenkomen van verdachte IP’s.
  • Deze plugin laat ook in grafieken zien hoeveel loginpogingen er per uur/dag zijn. Een plotselinge piek betekent meestal een aanval.

Kort samengevat:

  • Sucuri = handig om failed logins en verdachte activiteiten snel te checken.
  • All In One WP Security = geeft naast failed logins ook een duidelijk overzicht met grafieken van alle activiteiten rondom login en verkeer.

Manieren om een DDoS aanval te voorkomen in WordPress

Wil je weten wat is een DDoS aanval en vooral hoe je jouw WordPress site ertegen kunt beschermen? Hieronder vind je duidelijke stappen die je meteen kunt toepassen.

1. XML-RPC uitschakelen

Wat is het en waarom
XML-RPC is een WordPress-functie waarmee externe apps (bijvoorbeeld Jetpack of mobiel bloggen) verbinding maken met je site. Hackers misbruiken dit vaak bij DDoS- en brute force-aanvallen. Gebruik je dit niet? Zet het uit:

  1. Log in bij je hosting en open de Bestandsbeheerder (cPanel → File Manager of DirectAdmin → File Manager).
  2. Ga naar de map public_html of de hoofdmap waar WordPress staat.
  3. Zoek het bestand .htaccess (zet “hidden files tonen” aan als je het niet ziet).
  4. Klik met de rechtermuisknop → Bewerken.
  5. Voeg onderaan deze regels toe en sla op:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
  1. Testen:

Nadat je de regels in .htaccess hebt toegevoegd en opgeslagen, moet je controleren of het werkt. Dat doe je zo:

  1. Open een privévenster (incognito).
  2. Typ in de adresbalk: jouwdomein.nl/xmlrpc.php.

Nu zijn er twee mogelijkheden:

  • Als het goed is uitgeschakeld:
    Je krijgt een foutmelding zoals:
    • 403 Forbidden (toegang verboden), of
    • 500 Internal Server Error, of soms gewoon een lege witte pagina.
      Dat betekent dat de toegang tot het bestand geblokkeerd is en XML-RPC dus niet meer werkt.
  • Als het nog niet is uitgeschakeld:
    Je ziet deze melding in je browser:

XML-RPC server accepts POST requests only.

Dat betekent dat XML-RPC nog actief is en dat de regels in .htaccess óf niet goed geplaatst zijn, óf helemaal niet werken (bijvoorbeeld omdat je server geen Apache maar Nginx gebruikt).

Gebruik je Jetpack of remote publishing, dan werkt dit na het uitschakelen niet meer.

2. REST API beperken

Wat is het en waarom?
De REST API geeft toegang tot jouw data via jouwdomein.nl/wp-json. Handig voor sommige plugins, maar ook een risico.

Je kunt Rest API zo beperken:

  1. Ga in je WordPress-dashboard naar Plugins → Nieuwe plugin.
  2. Zoek op Disable WP REST API.
  3. Klik op Installeren en daarna Activeren.
  4. Vanaf dit moment wordt de REST API automatisch geblokkeerd voor alle gebruikers die niet ingelogd zijn. Je hoeft zelf geen instellingen meer te doen.

Hoe test je of het werkt?

  1. Open een privévenster (incognito) in je browser.
  2. Typ jouwdomein.nl/wp-json in de adresbalk.
  3. Als de plugin werkt, zie je nu een foutmelding zoals:
    • “REST API Restricted to authenticated users”
    • of 401 Unauthorized / 403 Forbidden
      Dat betekent dat de toegang voor niet-ingelogde gebruikers is geblokkeerd.

Extra tip:
Ben je wél ingelogd als beheerder en ga je naar jouwdomein.nl/wp-json, dan zie je de API-data nog steeds. Dat is normaal, want ingelogde admins houden toegang.

3. Firewall en Cloudflare gebruiken

Wat is een firewall?
Een firewall is een beveiligingslaag die verkeer naar je site filtert. Verdacht verkeer wordt tegengehouden, echt verkeer mag door.

Soorten firewalls

  • Plugins zoals Wordfence of Sucuri: draaien op je site zelf.
  • Netwerk-firewalls zoals Cloudflare: filteren verkeer al vóórdat het je server bereikt.

Cloudflare activeren (gratis versie beschikbaar)

  1. Maak een account op cloudflare.
  2. Voeg je domein toe.
  3. Cloudflare scant je DNS-records, zet de oranje wolkjes aan bij je A- en CNAME-records.
  4. Verander de nameservers bij je domeinregistrar naar die van Cloudflare.
  5. Wacht tot de wijziging actief is.

Extra tips:

  • Zet Under Attack Mode aan tijdens een aanval.
  • Gebruik Bot Fight Mode voor extra bescherming.
  • De gratis versie is vaak al voldoende, maar betaalde plannen bieden geavanceerde regels.

4. Hosting met Anti-DDoS bescherming

Wat is het?
Sommige hostingproviders hebben ingebouwde Anti-DDoS systemen. Zij filteren aanvallen op hun netwerk nog voordat jouw server het verkeer ontvangt.

Hoe check je of jouw hosting dit heeft?

  • Bekijk de productpagina van je hostingpakket: zoek naar termen als Anti-DDoS bescherming, DDoS mitigation of scrubbing.
  • Kijk in het hostingdashboard of er beveiligingstools aanwezig zijn.
  • Vraag het aan je hosting: “Heeft mijn pakket actieve Anti-DDoS bescherming op netwerk- en applicatieniveau?”

Heb je dit niet? Combineer dan je hosting met Cloudflare om toch bescherming te hebben.

Wil je niet alleen beschermd zijn tegen een DDoS aanval, maar je hele site sterker beveiligen? Lees dan ook ons uitgebreide artikel over WordPress beveiliging: 23 tips om je website te beschermen.

Wat moet je doen tijdens een DDoS aanval?

Stel dat je site toch wordt aangevallen. Wat nu?

  1. Neem contact op met je hostingprovider. Zij kunnen verkeer blokkeren of tijdelijk extra capaciteit inschakelen.
  2. Informeer je bezoekers. Gebruik social media of e-mail om uit te leggen dat er een aanval bezig is. Zo voorkom je dat mensen afhaken.
  3. Schakel een firewall in de strengste stand. Bij plugins zoals Sucuri kun je dit doen via “Paranoid Mode”.
  4. Laat je supportteam klaarstaan. Als je een webshop hebt, moeten klanten weten dat hun bestelling veilig blijft of later verwerkt wordt.

Conclusie

Een DDoS aanval is een serieuze bedreiging die iedereen kan treffen. Gelukkig kun je met een paar slimme stappen de kans op schade sterk verkleinen. Zet onnodige functies zoals XML-RPC en REST API uit, gebruik beveiligingsplugins, installeer Cloudflare en kies voor een hostingpartij die Anti-DDoS bescherming biedt.

Denk eraan: geen enkele maatregel biedt 100% zekerheid. Maar hoe meer lagen van beveiliging je toevoegt, hoe moeilijker je het hackers maakt.

Veelgestelde vragen

1. Wat is een DDoS aanval precies?

Een aanval waarbij criminelen je website overspoelen met verkeer, waardoor de server overbelast raakt en je site offline gaat.

2. Helpt het om mijn website te hosten op een VPS of dedicated server tegen DDoS?

Een krachtigere server kan iets meer verkeer aan, maar lost het probleem niet op. Zonder Anti-DDoS maatregelen kan zelfs een grote server platgaan. Combineer hosting dus altijd met Cloudflare of een firewall.

3. Hoe herken ik dat mijn website onder een DDoS aanval ligt?

Je site wordt extreem traag of onbereikbaar, en je hostingprovider ziet ongewoon veel verkeer van verdachte IP-adressen.

4. Kan een DDoS aanval mijn SEO schaden?

Ja, indirect wel. Als je website vaak offline is of heel traag laadt, ervaart Google dat als een slechte gebruikerservaring. Daardoor kan je ranking zakken.

5. Wat is het verschil tussen een Brute Force aanval en een DDoS aanval?

Een Brute Force aanval probeert in te loggen met duizenden wachtwoorden. Een DDoS aanval probeert je site plat te leggen met nepverkeer.

6. Als mijn hosting Anti-DDoS heeft, ben ik dan volledig beschermd?

Nee, volledig beschermd ben je nooit. Anti-DDoS helpt enorm, maar combineer het altijd met andere maatregelen zoals een firewall en beveiligingsplugins.