WordPress beveiliging: 23 tips om je website te beschermen

WordPress beveiliging is iets waar veel mensen pas over nadenken als het al te laat is. Maar wist je dat zelfs kleine websites vaak gehackt worden? Hackers richten zich niet alleen op grote bedrijven. Ook blogs, portfolio’s of simpele bedrijfswebsites zijn vaak het doelwit, en soms merk je daar lange tijd niks van, terwijl je site al is misbruikt.

Elke dag zet Google meer dan 10.000 websites op de zwarte lijst vanwege malware. En elke week gaat het om zo’n 50.000 websites vanwege phishing. Best heftig, toch?

De basis van WordPress is gelukkig veilig en wordt goed onderhouden door ontwikkelaars. Maar dat betekent niet dat je niks hoeft te doen. Een site blijft alleen veilig als je zelf ook stappen zet. Denk aan sterke wachtwoorden, veilige hosting, goede plugins, regelmatige updates… en nog veel meer.

In dit artikel delen we 23 manieren waarmee je de beveiliging van je WordPress-site flink kunt verbeteren. Veel van deze tips kun je makkelijk zelf toepassen, ook als je geen technische kennis hebt. Zo zorg je ervoor dat je website veilig blijft en je geen onnodig risico loopt.

Wat is WordPress beveiliging?

WordPress-beveiliging betekent simpel gezegd: zorgen dat je website goed beschermd is tegen hackers, fouten en dataverlies. Het gaat erom dat niemand zomaar bij je bestanden of gegevens kan komen, en dat je site veilig en betrouwbaar blijft.

Bij het beveiligen van een WordPress-site kijk je niet alleen naar technische dingen zoals plugins of code. Ook je hosting speelt een rol, net als de thema’s die je gebruikt en hoe je gebruikers toegang geeft tot de website. Zelfs simpele dingen zoals een sterk wachtwoord maken al verschil.

Waarom is websitebeveiliging belangrijk?

Als je website wordt gehackt, kan dat grote problemen veroorzaken. Hackers kunnen bijvoorbeeld wachtwoorden stelen, je klantengegevens inzien of zelfs virussen op je site zetten. Soms raken mensen zelfs de toegang tot hun eigen website kwijt, tenzij ze ‘losgeld’ betalen aan de hacker, echt waar.

Google waarschuwt elke week tienduizenden mensen voor gevaarlijke websites met malware of phishing. En als jouw site op die zwarte lijst komt, dan verlies je bezoekers, vertrouwen én mogelijk klanten.

Heb je een webshop of verzamel je gevoelige informatie van klanten? Dan is het nóg belangrijker dat je website goed beveiligd is. Je kunt het vergelijken met een fysieke winkel: die sluit je ook goed af met een slot en een alarm. Met je website moet je eigenlijk precies hetzelfde doen.

“Beveiliging is geen luxe, maar de basis van vertrouwen online. Wie zijn website beschermt, beschermt ook zijn klanten.”
Bron: Vimexx

Hoe kun je je WordPress-website beveiligen?

We hebben alle tips opgedeeld in duidelijke onderdelen. Zo kun je makkelijk zien wat je al gedaan hebt en wat je nog moet aanpakken. Sommige stappen zijn super eenvoudig en kosten maar een paar klikken, andere vragen iets meer aandacht, maar ze zijn allemaal de moeite waard.

1. Houd WordPress up-to-date

WordPress is een open source-systeem. Dat betekent dat het regelmatig wordt aangepast en verbeterd door ontwikkelaars over de hele wereld. Kleine updates worden meestal automatisch geïnstalleerd, maar voor grote updates moet je zelf actie ondernemen.

Niet alleen WordPress zelf krijgt updates, maar ook de plugins en thema’s die je gebruikt op je website. Deze worden gemaakt door andere ontwikkelaars, en ook zij brengen regelmatig nieuwe versies uit om fouten op te lossen en je website veiliger te maken.

2. Gebruik sterke wachtwoorden en veilige gebruikersrollen

Veel websites worden gehackt doordat iemand een wachtwoord raadt of steelt. Daarom is het belangrijk dat je een sterk en uniek wachtwoord gebruikt voor je WordPress-website. Dat geldt niet alleen voor je inlog op WordPress zelf, maar ook voor je hosting, e-mail, database en FTP.

Een goed wachtwoord bestaat uit een combinatie van hoofdletters, kleine letters, cijfers en speciale tekens. Vind je dat lastig te onthouden? Gebruik dan een wachtwoordmanager. Daarmee hoef je het wachtwoord zelf niet meer te onthouden, en blijft het toch veilig. Een wachtwoordmanager is een programma of app die je wachtwoorden veilig opslaat. Je hoeft zelf alleen nog maar één hoofdwachtwoord te onthouden, de rest wordt automatisch ingevuld wanneer je inlogt.

WordPress heeft verschillende gebruikersrollen, zoals beheerder, redacteur of auteur. Zorg dat je goed weet wat elke rol mag doen voordat je nieuwe accounts aanmaakt. Zo houd je de controle over wie wat kan, en help je mee om je website goed te beveiligen.

3. Kies voor veilige en betrouwbare WordPress-hosting

De plek waar je je website host, dus je hostingprovider, speelt een grote rol in hoe goed je WordPress-site beschermd is. Een goede host zorgt er namelijk achter de schermen voor dat je website veilig blijft.

Een betrouwbare WordPress-hostingpartij doet bijvoorbeeld het volgende:

• Ze houden hun netwerk goed in de gaten om verdachte activiteiten op tijd te zien.
• Ze gebruiken speciale tools om aanvallen zoals DDoS te blokkeren. Wil je precies weten wat een DDoS-aanval is en hoe je dit in WordPress kunt voorkomen, lees dan ons artikel Wat is een DDoS aanval en hoe voorkom je het in WordPress?.
• Ze zorgen dat hun servers, PHP-versies en andere software altijd up-to-date zijn.
• Ze hebben back-upplannen om je data veilig te stellen bij een grote storing.

Let op: als je een gedeelde hosting gebruikt (dus samen met andere websites op één server zit), dan kan het risico groter zijn. Als een andere site op dezelfde server wordt gehackt, kan dat ook gevolgen hebben voor jouw site.

Wil je meer veiligheid? Dan is het slim om te kiezen voor managed WordPress-hosting. Zo’n hostingpartij regelt dan automatisch je back-ups, updates en extra beveiligingsinstellingen. Dat maakt het een stuk makkelijker om je website goed te beveiligen zonder technische gedoe.

4. Installeer een back-up plugin voor WordPress

Back-ups zijn super belangrijk om je website veilig te houden. Zie het als een vangnet: als er iets misgaat, bijvoorbeeld je site wordt gehackt of crasht, dan kun je met een back-up alles snel weer terugzetten.

Niemand is 100% veilig, zelfs grote bedrijven of overheidswebsites worden soms gehackt. Daarom is het slim om regelmatig een volledige back-up van je website te maken en die op een veilige plek op te slaan. Bewaar je back-ups liever niet op je eigen hosting, maar in de cloud, bijvoorbeeld bij Dropbox, Amazon of Google Drive.

Er zijn verschillende plugins die je hierbij helpen. Een van de bekendste is UpdraftPlus, makkelijk in gebruik en je kunt automatische back-ups instellen. Andere goede opties zijn SolidWP (betaald, maar heel compleet) en WPvivid Backup (gratis én met veel functies).

Afhankelijk van hoe vaak je aan je site werkt, kun je instellen dat er dagelijks of realtime back-ups worden gemaakt. Zo hoef je je geen zorgen te maken als er iets onverwachts gebeurt.

5. Zet een Web Application Firewall (WAF) in om je website te beschermen

Een van de makkelijkste én krachtigste manieren om je WordPress-site te beschermen, is door een Web Application Firewall (WAF) te gebruiken. Zo’n firewall houdt kwaadwillende bezoekers tegen voordat ze je website schade kunnen doen.

Er zijn twee soorten firewalls die vaak gebruikt worden voor WordPress:

• DNS-niveau firewalls: hierbij loopt al het verkeer eerst via een externe server (bijvoorbeeld via Cloudflare of Sucuri), die bepaalt of een bezoeker wel of geen toegang krijgt. Alleen betrouwbaar verkeer komt dan op je website terecht. Dit is de beste en meest veilige optie, vooral tegen DDoS-aanvallen.
• Applicatieniveau firewalls: deze werken als plugin op je eigen WordPress-site. Ze filteren het verkeer nadat het je server heeft bereikt, maar vóórdat WordPress volledig laadt. Ze bieden bescherming, maar zijn iets minder efficiënt dan DNS-firewalls omdat ze toch wat servercapaciteit vragen.

Bekende plugins die je kunt gebruiken als WAF in WordPress zijn onder andere Wordfence en All In One WP Security & Firewall. Door zo’n plugin te activeren, houd je veel aanvallen en bots automatisch buiten de deur, zonder dat jij daar iets voor hoeft te doen.

6. Zet je WordPress-site om naar SSL / HTTPS

SSL zorgt ervoor dat de gegevens op je website versleuteld worden verzonden. Dat betekent dat bijvoorbeeld wachtwoorden, contactformulieren of betaalinformatie niet zomaar gelezen kunnen worden door anderen. Zodra je SSL hebt geactiveerd, verandert het begin van je website van http:// naar https://, en zie je een slotje in de adresbalk van de browser.

Tegenwoordig is het heel makkelijk om een SSL-certificaat te installeren. De meeste hostingproviders geven standaard een gratis SSL-certificaat via Let’s Encrypt. Heb je dat nog niet? Dan kun je vaak met één klik in je hostingpaneel SSL aanzetten.

Gebruik je WordPress? Dan kun je het nog makkelijker maken met een plugin zoals Really Simple SSL. Die regelt automatisch de overgang van HTTP naar HTTPS, zonder dat je iets handmatig hoeft aan te passen.

Beveiliging helpt ook bij beter scoren in Google

Misschien denk je bij websitebeveiliging vooral aan hackers en malware, maar wist je dat het ook invloed heeft op je zichtbaarheid in Google?

Zoekmachines zoals Google geven de voorkeur aan veilige websites: met een geldig SSL-certificaat (HTTPS), zonder malware of verdachte scripts, en met goede uptime. Als je site bijvoorbeeld wordt gehackt of op een zwarte lijst belandt, kan dat direct je vindbaarheid schaden.

Lees ons artikel over technische SEO om beter te begrijpen welke factoren achter de schermen bijdragen aan hogere posities in Google.

7. WordPress-beveiliging voor gebruikers

Als je meerdere mensen toegang geeft tot je WordPress-site, bijvoorbeeld gastbloggers, redacteurs of medewerkers, dan is het belangrijk om ook hun veiligheid serieus te nemen. Veel aanvallen gebeuren via zwakke plekken in gebruikersaccounts.

Hier zijn een paar stappen om je gebruikersomgeving beter te beveiligen:

• Geef gebruikers alleen de rechten die ze nodig hebben
  In WordPress kun je kiezen uit verschillende rollen zoals Beheerder, Redacteur, Auteur of Abonnee. Geef iemand nooit zomaar beheerdersrechten als dat niet nodig is. Hoe minder rechten, hoe kleiner het risico.
• Gebruik sterke wachtwoorden en dwing dat ook af
  Vraag je gebruikers om een sterk wachtwoord te kiezen, of gebruik een plugin die dat verplicht stelt. Je kunt ook een wachtwoordmanager aanbevelen.
• Activeer tweestapsverificatie (2FA)
  Voeg een extra laag toe bij het inloggen. Dit kan met een app zoals Google Authenticator of Authy. Zelfs als iemand het wachtwoord weet, kunnen ze dan niet zomaar inloggen.
• Log gebruikers automatisch uit bij inactiviteit
  Met een plugin zoals Inactive Logout kun je instellen dat mensen automatisch worden uitgelogd na bijvoorbeeld 10 of 15 minuten. Dat voorkomt misbruik als iemand een sessie open laat staan op een gedeelde computer.
• Houd bij wie wat doet op je site
  Met een plugin zoals Activity Log kun je precies zien wie wanneer is ingelogd en wat ze gedaan hebben. Zo ontdek je snel verdachte acties.

8. Verander de standaard gebruikersnaam “admin”

Vroeger gaf WordPress automatisch de gebruikersnaam “admin” aan de beheerder van een website. Maar dat is niet zo slim, want hackers weten dit en proberen vaak met die naam in te loggen. Je gebruikersnaam is namelijk de helft van je inlogcombinatie, als die voorspelbaar is, hoeven ze alleen nog je wachtwoord te raden.

Om dit probleem op te lossen, volg de onderstaande stappen:

1. Maak een nieuw beheerdersaccount aan en verwijder het oude

Deze methode is eenvoudig en kan gewoon via je WordPress-dashboard:

• Log in met je huidige “admin”-account
• Ga naar Gebruikers > Nieuwe toevoegen
• Kies een unieke gebruikersnaam (zoals “beheerder123”) en stel de rol in als Beheerder
• Log uit, log opnieuw in met het nieuwe account
• Verwijder daarna het oude “admin”-account
• Zorg ervoor dat je bij het verwijderen de inhoud toewijst aan de nieuwe gebruiker

2. Gebruik een plugin

Met de gratis plugin Username Changer kun je de gebruikersnaam makkelijk aanpassen zonder een nieuw account aan te maken. Na installatie kun je bij je profiel direct de naam wijzigen.

3. Wijzig de gebruikersnaam via phpMyAdmin (voor gevorderden)

Als je toegang hebt tot je database via je hosting (bijv. cPanel of DirectAdmin), kun je dit ook handmatig doen:

• Ga naar phpMyAdmin
• Selecteer de juiste database
• Open de tabel wp_users (de prefix kan anders zijn, zoals wp3x_users)
• Zoek het account met user_login = admin
• Klik op “Bewerken”
• Vervang “admin” door een nieuwe, veilige naam
• Klik op “Opslaan”

Let op: we hebben het hier over de gebruikersnaam, niet over de rol “beheerder”. Die mag gewoon blijven zoals hij is.

9. Schakel bestandbewerking uit

In WordPress kun je via het dashboard direct de code van thema’s en plugins aanpassen. Dat klinkt misschien handig, maar het is ook een groot risico. Als iemand toegang krijgt tot je beheerdersomgeving, kan die persoon via deze editor schadelijke code toevoegen aan je site.

Daarom is het slim om deze functie helemaal uit te schakelen. Zo voorkom je dat er vanuit het dashboard direct bestanden aangepast kunnen worden.

Hoe schakel je de bestandbewerking uit?

Stap 1: Log in op je hostingaccount (bijvoorbeeld via cPanel of DirectAdmin)
Stap 2: Ga naar Bestandsbeheer (File Manager)
Stap 3: Open de map waar je WordPress-site staat, meestal:public_html/
Stap 4: Zoek het bestand wp-config.php
Stap 5: Rechtermuisklik > Bewerken
Stap 6: Voeg deze regel code toe, vlak boven de regel die eindigt op /* That's all, stop editing! */

define( 'DISALLOW_FILE_EDIT', true );

Stap 7: Sla het bestand op.

10. Schakel de uitvoering van PHP-bestanden uit in bepaalde WordPress-mappen

Sommige mappen op je WordPress-site, zoals /wp-content/uploads/, zijn bedoeld voor afbeeldingen en documenten, niet voor code. Toch kunnen hackers soms proberen om via die map PHP-bestanden te draaien. Dat wil je natuurlijk voorkomen.

Een eenvoudige manier om dat tegen te houden, is door de uitvoering van PHP-bestanden uit te schakelen in specifieke mappen.

Zo doe je dat stap voor stap:

Je kunt dit bestand ook rechtstreeks in je hostingomgeving aanmaken.

1. Log in op je hosting (bijvoorbeeld via cPanel > File Manager).
2. Ga naar de map /wp-content/uploads/.
3. Klik op + File (Nieuw bestand maken).
4. Geef het bestand de naam .htaccess (met een punt aan het begin).
5. Open het nieuwe bestand en plak deze code erin:
   <Files *.php> deny from all </Files>
6. Klik op Opslaan.

Hoe test je of dit werkt?

Je kunt eenvoudig controleren of het nieuwe .htaccess-bestand actief is:

1. Maak in de map /wp-content/uploads/ een nieuw bestand aan met de naam test.php.
2. Zet in dat bestand de volgende eenvoudige code:

<?php echo "Het werkt!"; ?>

3. Sla het bestand op.
4. Ga in je browser naar:

https://jouwdomein.nl/wp-content/uploads/test.php

Wat moet er gebeuren?

• Als het .htaccess-bestand goed werkt, krijg je een foutmelding zoals 403 Forbidden of een lege pagina.
• Zie je toch de tekst “Het werkt!”, dan wordt PHP nog uitgevoerd en moet je je instellingen opnieuw nakijken.

Vergeet niet: verwijder na het testen het bestand test.php, anders laat je een onveilig bestand achter op je server.

Tip: Dit .htaccess-bestand geldt alleen voor de map /uploads/. Het is dus iets anders dan het hoofd-.htaccess-bestand dat in de hoofdmap (bijvoorbeeld /public_html/) staat en je hele site aanstuurt. Op deze manier beperk je de regel alleen tot de uploads-map en voorkom je verwarring.

11. Beperk het aantal inlogpogingen

Normaal gesproken kun je in WordPress zo vaak inloggen als je wilt, zelfs als je steeds het verkeerde wachtwoord invult. Dat is gevaarlijk, want hackers kunnen dan eindeloos combinaties proberen om binnen te komen, dit heet een brute force-aanval.

Door het aantal mislukte inlogpogingen te beperken, maak je je website een stuk veiliger.

Gebruik je al een Web Application Firewall (WAF)? Dan wordt dit meestal automatisch geregeld.

Zo niet, dan kun je de plugin Login LockDown installeren. Na het activeren van de plugin ga je naar Instellingen > Login LockDown, waar je het maximale aantal pogingen en de tijdslimiet kunt instellen.

12. Voeg tweefactorauthenticatie toe

Tweefactorauthenticatie (2FA) zorgt voor extra veiligheid bij het inloggen. Naast je gebruikersnaam en wachtwoord moet je dan ook een code invullen die op je telefoon verschijnt. Zo kunnen hackers niet zomaar inloggen, zelfs als ze je wachtwoord hebben.

Grote websites zoals Google, Facebook en Twitter gebruiken deze methode al, en jij kunt het ook op je WordPress-site instellen.

Zo doe je dat:

• Installeer en activeer de plugin Two Factor Authentication
• Installeer een 2FA-app op je telefoon, zoals Google Authenticator, Authy of LastPass Authenticator
• Authy en LastPass zijn handig omdat ze back-ups maken van je codes, voor het geval je je telefoon kwijtraakt of vervangt

13. Wijzig het databasevoorvoegsel van WordPress

Standaard begint elke tabel in je WordPress-database met “wp_”, zoals wp_posts, wp_users, enzovoort. Dit is algemeen bekend en daardoor makkelijker te raden voor hackers die je database willen aanvallen.

Door dit voorvoegsel te wijzigen naar iets unieks, maak je het een stuk moeilijker voor hackers. Denk aan iets als:

• wbm_
• veilig_
• x9k3_

Zo wijzig je het databasevoorvoegsel handmatig:

1. Maak eerst een volledige back-up
2. Open het bestand wp-config.php
   • Log in op je hosting (via cPanel, DirectAdmin of FTP)
   • Ga naar: public_html/
   • Open wp-config.php
   • Zoek naar de regel: $table_prefix = 'wp_';
   • Verander ‘wp_’ in iets unieks, bijvoorbeeld: $table_prefix = 'wbm2025_';
   • Sla het bestand op
3. Pas de namen van de tabellen in je database aan
   • Ga naar phpMyAdmin via je hosting
   • Selecteer de juiste database
   • Je ziet nu tabellen zoals wp_posts, wp_users, etc.
   • Klik op elke tabel en kies “Naam wijzigen” of “Rename”
   • Vervang “wp_” door je nieuwe voorvoegsel, zoals “wbm2025_posts”, “wbm2025_users”, enzovoort
4. Update het voorvoegsel in de database zelf
   • Open de tabel wbm2025_options (voorheen wp_options)
   • Zoek in de kolom “option_name” naar rijen die nog beginnen met “wp_” en wijzig deze naar je nieuwe prefix
   • Doe hetzelfde in wbm2025_usermeta bij alle meta_key-waarden die beginnen met “wp_”
5. Test je website
   • Log opnieuw in op je website
   • Controleer of alles goed werkt
   • Werkt het niet? Herstel dan je back-up

Tip: Vind je dit te technisch? Gebruik dan een plugin zoals WPS Hide Login om het automatisch te laten doen.

14. Beveilig WP-Admin met een extra wachtwoord

De map wp-admin en de loginpagina zijn populaire doelwitten voor hackers. Ze kunnen via die route proberen in te breken of zelfs een DDoS-aanval uitvoeren.

Om dat tegen te gaan, kun je een extra beveiligingslaag toevoegen op serverniveau. Dit betekent dat iemand eerst een extra gebruikersnaam en wachtwoord moet invoeren vóórdat de standaard WordPress-loginpagina überhaupt zichtbaar wordt.

Hoe werkt dit?

1. In cPanel:
   • Ga naar Directory Privacy (of Password Protect Directories).
   • Kies de map /wp-admin/.
   • Stel een gebruikersnaam en wachtwoord in.
   • Vanaf nu vraagt je site eerst om dat extra wachtwoord vóórdat iemand de WordPress-login ziet.
2. In DirectAdmin:
   • Ga naar Advanced Features > Password Protected Directories.
   • Selecteer de map /wp-admin/.
   • Maak een nieuwe gebruiker en wachtwoord aan.
   • Klaar, je hebt nu die extra beveiligingslaag.
3. Handmatig (meer technisch):
   • Je maakt een bestand .htpasswd met daarin de gebruikersnaam + versleuteld wachtwoord.
   • In je .htaccess (bijvoorbeeld in wp-admin) verwijs je naar dat bestand.
   • Dit vraagt bij elke poging om wp-admin te openen eerst om dat extra wachtwoord.

15. Schakel directory-indexering uit

Als directory-indexering is ingeschakeld, kunnen mensen de mappenstructuur van je website zien, inclusief bestanden die daar niet bedoeld voor zijn. Hackers kunnen zo kwetsbare bestanden opsporen, en anderen kunnen makkelijk je afbeeldingen of documenten kopiëren.

Gelukkig kun je dit eenvoudig uitschakelen met één regel in je .htaccess-bestand.

Zo doe je dat:

1. Verbind met je website via FTP, via cPanel of Direct admin
2. Ga naar de hoofdmap van je website (public_html)
3. Open het bestand .htaccess
4. Voeg helemaal onderaan deze regel toe: Options -Indexes
5. Sla het bestand op en upload het opnieuw naar je server

16. Schakel XML-RPC uit in WordPress

XML-RPC is een functie in WordPress waarmee externe apps, zoals mobiele apps, kunnen verbinden met je website. Maar het zorgt ook voor extra risico: via de functie system.multicall kunnen hackers duizenden inlogpogingen tegelijk uitvoeren.

Gebruik je deze functie niet? Schakel het dan uit.

Zo pak je dat heel eenvoudig aan:

1. Open het .htaccess-bestand in de hoofdmap van je website (public_html)
2. Voeg de volgende regel toe onderaan het bestand:
   <Files xmlrpc.php> deny from all </Files>
3. Sla het bestand op en upload het terug naar je server

Gebruik je al een goede firewall zoals Wordfence of Sucuri? Dan is XML-RPC waarschijnlijk al geblokkeerd.

17. Log automatisch inactieve gebruikers uit

Soms laten gebruikers hun laptop of telefoon openstaan terwijl ze nog zijn ingelogd op je website. Als iemand anders dan achter het apparaat gaat zitten, kan die per ongeluk of expres instellingen wijzigen of wachtwoorden aanpassen.

Daarom is het slim om gebruikers automatisch uit te loggen na een periode van inactiviteit, net zoals banken dat doen.

Zo stel je dat in op je WordPress-site:

1. Installeer de plugin Inactive Logout
2. Ga naar Instellingen > Inactive Logout
3. Stel in na hoeveel minuten inactiviteit een gebruiker automatisch wordt uitgelogd
4. Schrijf eventueel een eigen bericht dat de gebruiker te zien krijgt bij het uitloggen
5. Klik op Wijzigingen opslaan

18. Voeg beveiligingsvragen toe aan de inlogpagina

Door een extra beveiligingsvraag toe te voegen aan het inlogscherm, maak je het hackers nog moeilijker om toegang te krijgen tot je WordPress-site. Zelfs als ze je wachtwoord weten, moeten ze dan nog een persoonlijke vraag correct beantwoorden.

Zo stel je dit in:

1. Installeer de plugin Security Question pro
2. Ga naar Instellingen > Security Question pro
3. Kies welke vragen je wilt activeren en stel de juiste antwoorden in

19. Scan WordPress op malware en kwetsbaarheden

Veel beveiligingsplugins scannen je website automatisch op virussen of verdachte bestanden. Maar als je merkt dat je ineens minder bezoekers krijgt, of je positie in Google omlaag gaat, dan is het slim om ook zelf een handmatige scan te doen.

Je kunt hiervoor een online malware scanner gebruiken. Je vult je website-URL in, en de tool controleert of er kwaadaardige code of bekende virussen aanwezig zijn.

Bekende en betrouwbare gratis scanners zijn:

• Sucuri SiteCheck
• Quttera Web Malware Scanner
• VirusTotal (URL tab)

Let op: deze tools detecteren alleen problemen, ze verwijderen niks. Als er iets wordt gevonden, moet je daarna zelf actie ondernemen of een professional inschakelen.

20. Herstel een gehackte WordPress-site

Veel mensen beseffen pas hoe belangrijk websitebeveiliging is als hun site al gehackt is. Maar dan is het vaak te laat, en het opruimen van een gehackte WordPress-site kan veel tijd kosten.

Hackers maken gebruik van bestaande zwakke plekken. Als je die niet goed oplost, is de kans groot dat ze later opnieuw binnendringen.

Het is daarom verstandig om het herstellen van een gehackte site over te laten aan een professionele beveiligingsdienst, zoals Sucuri. Zij kunnen je site opschonen, beveiligen én voorkomen dat het opnieuw gebeurt.

Wat doet Sucuri als je WordPress-site gehackt is?

Sucuri is een professionele beveiligingsdienst die zich 100% richt op het beveiligen en herstellen van websites, vooral WordPress. Als je klant bij ze wordt, bieden ze twee hoofdservices:

1. Herstellen van een gehackte site

Zodra je een abonnement hebt (vanaf ± $199/jaar), doet Sucuri het volgende:

• Ze scannen je volledige website op malware, verdachte scripts en injecties
• Ze verwijderen handmatig (!) alle schadelijke code, zelfs als die diep in je bestanden of database zit
• Ze herstellen beschadigde bestanden en CMS-kernbestanden
• Ze controleren je .htaccess, plugins, thema’s, wp-config.php en uploads-map
• Ze zorgen dat je website weer bereikbaar is, schoon is en goed functioneert

Wat jij moet doen:

• Je moet je bij hen registreren
• In je dashboard geef je je domeinnaam op
• Je moet (tijdelijk) toegang geven tot FTP / cPanel / of je WordPress-login
• Daarna gaan zij aan de slag, jij hoeft verder niks te doen

2. Preventieve beveiliging na herstel

Na het schoonmaken bieden ze ook doorlopende beveiliging, bijvoorbeeld:

• Een website firewall (WAF) om toekomstige aanvallen te blokkeren
• Blokkeren van brute-force, XSS en SQL-aanvallen
• Bescherming tegen DDoS-aanvallen
• Dagelijkse malware scans
• Notificaties als iets verdachts gebeurt
• Rapporten met aanbevelingen (zoals plugins die je beter kunt verwijderen)

Extra voordeel: Als je site opnieuw wordt aangevallen tijdens je abonnement, fixen ze het zonder extra kosten.

Wat is jouw rol?

• Je hoeft geen technische stappen te zetten
• Je geeft alleen tijdelijk toegang (FTP / WP admin / database)
• Ze sturen updates en rapporten
• Jij blijft altijd eigenaar van je site en inhoud

Alternatieven voor Sucuri

Als je liever niet met een externe partij werkt, kun je ook werken met:

• Wordfence Premium → heeft ook incident response
• MalCare Security → biedt automatische clean-up
• Of een WordPress-bouwer inhuren

21. Gebruik een CDN-dienst

Een CDN (Content Delivery Network) is een netwerk van servers die wereldwijd verspreid zijn. Het helpt je website sneller en veiliger te maken, en vooral beter bestand tegen aanvallen zoals DDoS.

Waarom is een CDN handig?

• Het vermindert de belasting op je eigen server. Statische bestanden zoals afbeeldingen, CSS en JavaScript worden geladen via de CDN, niet direct vanaf je hosting.
• Het beschermt tegen DDoS-aanvallen. Verdachte bezoekersverzoeken worden geblokkeerd voordat ze je website bereiken.
• Het zorgt voor veilige data-overdracht. Veel CDN’s ondersteunen SSL, zodat wachtwoorden en betaalgegevens versleuteld worden verzonden.

Bekende CDN-aanbieders zijn onder andere Cloudflare, KeyCDN en StackPath. Sommige zijn gratis, andere betaald, afhankelijk van je behoeften.

22. Verberg of hernoem gevoelige bestanden zoals wp-config.php en .htaccess

Bepaalde bestanden in WordPress bevatten gevoelige informatie. Denk aan databasegegevens, beveiligingssleutels en serverinstellingen. Als iemand toegang krijgt tot deze bestanden, kunnen ze grote schade aanrichten.

De twee belangrijkste bestanden zijn:

• wp-config.php
  Dit bestand bevat alle gevoelige instellingen van je site, zoals je databasegebruikersnaam, wachtwoord, en veiligheidssleutels.
  Je kunt het verplaatsen naar een map boven public_html, zodat het niet via de browser bereikbaar is. Dit wordt officieel door WordPress ondersteund.
  Je kunt het bestand eventueel ook hernoemen naar iets onopvallends (zoals wp-sec.php), maar dan moet je in je serverconfig of bijv. via require in een aangepaste index.php aangeven waar het staat.
• .htaccess
  Dit bestand regelt herschrijvingen (bijv. voor mooie URL’s), SSL-instellingen, en toegangsbeveiliging. Je kunt het bestand hernoemen (bijv. naar .hiddenaccess), maar alleen als je server of je configuratie weet dat het die naam moet gebruiken. Anders werkt je site niet meer goed.

Let op:
Het verplaatsen of hernoemen van deze bestanden is alleen veilig als je weet wat je doet. Bij een verkeerde aanpassing kan je website direct offline gaan of foutmeldingen geven.

Als je niet technisch bent, laat dit dan over aan je hostingprovider of een webdeveloper. Sommige managed hostingdiensten hebben deze beveiligingsmaatregelen al voor je geregeld.

23. Gebruik alleen thema’s en plugins van betrouwbare bronnen

De veiligheid van je WordPress-site hangt sterk af van de kwaliteit van je thema’s en plugins. Installeer daarom alleen thema’s en plugins van betrouwbare en officiële bronnen.

Kies voor:

• De officiële WordPress-plugin- en themabibliotheek
  Deze kun je rechtstreeks via je WordPress-dashboard gebruiken. Alles wordt daar gecontroleerd op veiligheid en compatibiliteit.
• Bekende marktplaatsen zoals ThemeForest of Elegant Themes
  Deze platforms werken met professionele ontwikkelaars en voeren kwaliteitscontroles uit. Je krijgt ook vaak support en updates.

Let op:
Als je een plugin of thema downloadt van een onbekende bron of via een vage website, loop je het risico dat je je hele website besmet. Zelfs als het goed lijkt te werken, kan er op de achtergrond iets meedraaien wat je niet ziet.

Beste beveiligingsplugins voor WordPress

Wil je je WordPress website beter beveiligen tegen hackers, malware en andere bedreigingen? Dan is het gebruik van een goede WordPress beveiligingsplugin essentieel.

1. iThemes Security

iThemes Security is een van de populairste en meest betrouwbare WordPress beveiligingsplugins. Deze plugin helpt je om je website te beschermen tegen aanvallen, zonder dat je zelf technisch hoeft te zijn.

De betaalde versie, iThemes Security Pro, biedt maar liefst 32 beveiligingsfuncties die samenwerken om je site goed te beschermen.

Wat kun je met deze plugin doen?

• Onveilige IP-adressen automatisch blokkeren
• Inlogpogingen beperken en gebruikers blokkeren na teveel fouten
• Twee-stapsverificatie instellen via e-mail of een app (geen SMS nodig)
• Regelmatig je pagina’s laten scannen op malware of verdachte code
• Sterke wachtwoorden verplicht maken en instellen wanneer die verlopen
• SSL-beveiliging activeren op belangrijke pagina’s (als je server dat ondersteunt)
• Je inlogpagina verplaatsen naar een andere URL (lastiger te raden voor hackers)
• Bestanden in de gaten houden en waarschuwingen krijgen bij verdachte wijzigingen
• E-mailmeldingen bij verdachte activiteiten
• Info over je WordPress-versie verbergen zodat hackers minder weten

2. Wordfence Security

Wordfence Security is misschien wel de meest gebruikte WordPress beveiligingsplugin ter wereld. Deze krachtige plugin beschermt je website tegen allerlei soorten aanvallen, van malware tot brute-force loginpogingen.

Wordfence bevat:

• Een slimme firewall die kwaadaardig verkeer blokkeert voordat het je site bereikt
• Een malware scanner die verdachte bestanden en code opspoort
• Beveiligingswaarschuwingen en rapporten die je per e-mail kunt ontvangen
• Gebruikersactiviteit-monitoring om verdachte handelingen direct te zien

De plugin is beschikbaar in een gratis versie, maar de betaalde versie, Wordfence Security Pro, biedt snellere updates, premium ondersteuning en extra functies.

Je kunt met Wordfence zelf bepalen:

• Welke bestanden gescand worden
• Wat je precies via e-mail gemeld wilt krijgen
• Hoe streng de beveiliging moet zijn

Let op: Wordfence biedt veel instellingen, dus pas alleen iets aan als je weet wat je doet.

3. Really Simple SSL

Really Simple SSL is een handige plugin om snel en zonder gedoe een SSL-certificaat te activeren op je WordPress-website. Deze plugin is enorm populair, met meer dan 5 miljoen installaties wereldwijd.

Zodra je SSL op je hosting hebt ingesteld, zorgt deze plugin ervoor dat je hele website automatisch wordt omgezet naar HTTPS, wat essentieel is voor een veilige verbinding.

Wat doet Really Simple SSL precies?

• Activeert SSL in slechts een paar klikken (zonder technische kennis)
• Lost automatisch mixed content-fouten op (die vaak voorkomen bij overstap naar HTTPS)
• Houdt bij of je SSL-certificaat nog geldig is en stuurt een waarschuwing als die verloopt
• Zorgt voor versleutelde gegevensoverdracht en maakt cookies veiliger
• Biedt extra beveiligingsopties zoals ondersteuning voor HSTS Preload

Let op: je moet wel eerst een SSL-certificaat aanvragen of activeren via je hostingprovider.

4. SecuPress Pro

SecuPress Pro is een krachtige beveiligingsplugin voor WordPress, speciaal ontwikkeld om je site te beschermen tegen hackers en malware. Deze plugin wordt onder andere aangeboden via de website van Zaqat en is geschikt voor wie op zoek is naar een alles-in-één oplossing voor WordPress-beveiliging.

Wat doet SecuPress Pro voor je site?

• Voert een volledige veiligheidsscan uit om zwakke plekken op te sporen
• Blokkeert verdachte IP-adressen en bots die proberen binnen te dringen
• Spoort malware op en verwijdert deze automatisch
• Beschermt je site met een krachtige firewall tegen aanvallen
• Geeft duidelijke rapportages over gevonden kwetsbaarheden en wat je kunt verbeteren
• Maakt het mogelijk om een back-up te maken van je instellingen en gegevens
• Voldoet volledig aan de AVG/GDPR-regels

5. WP Ghost (Hide My WP Ghost), Security & Firewall

WP Ghost is een slimme beveiligingsplugin voor WordPress waarmee je gevoelige informatie op je site kunt verbergen. Denk aan het verstoppen van je thema’s, plugins en standaard WordPress-paden. Zo maak je het voor hackers veel moeilijker om je website aan te vallen.

Wat kun je met Hide My WP?

• Verberg welke plugins en thema’s je gebruikt, zodat aanvallers geen zwakke plekken kunnen vinden
• Wijzig standaard-URL’s zoals /wp-login of /wp-admin, zodat bots je site niet makkelijk vinden
• Blokkeer verdachte IP-adressen, inclusief IP’s uit bepaalde landen
• Voorkom hackpogingen door belangrijke informatie te verstoppen

6. All In One WP Security & Firewall

All In One WP Security & Firewall is een van de meest complete beveiligingstools voor WordPress en 100% gratis. Met een gebruiksvriendelijke interface kun je stap voor stap de beveiliging van je site verbeteren, zonder technische kennis.

Wat kun je ermee?

• Beperk het aantal inlogpogingen
• Voeg Google reCAPTCHA toe aan je login- en registratiepagina
• Controleer de veiligheid van je wachtwoorden
• Detecteer en blokkeer verdachte IP-adressen
• Verander de standaard database-prefix (wp_)
• Scan je site op kwaadaardige bestanden

7. WP fail2ban

WP fail2ban integreert met je serverlog om brute force-aanvallen te blokkeren nog voordat ze impact maken. Hij registreert elke inlogpoging, zelfs geslaagde, en werkt samen met het bekende beveiligingssysteem Fail2Ban op de server.

Voordelen:

• Realtime monitoring van inlogpogingen
• Sterke bescherming tegen brute force-aanvallen
• Perfect voor wie meer controle wil via de server

Let op: het vereist wat meer serverkennis. Ideaal als je een VPS of dedicated server gebruikt.

8. SolidWP Security

SolidWP richt zich vooral op .htaccess-bescherming, loginbeveiliging en databaseback-ups. Het lijkt technisch, maar heeft een automatische installatiewizard die het werk voor je doet.

Wat doet het?

• Beveiligt .htaccess-bestanden automatisch
• Maakt back-ups van je database
• Beschermt tegen code injection en XSS-aanvallen
• Logt verdachte acties en geeft waarschuwingen

9. WP Activity Log

WP Activity Log houdt alle gebruikersactiviteiten op je website bij, inclusief wie wanneer heeft ingelogd, wat ze hebben aangepast, en of er pogingen tot misbruik zijn.

Ideaal voor:

• Webshops en multi-user websites
• Loggen van wijzigingen in inhoud, plugins of instellingen
• Controle over wat admins en redacteuren doen

10. MalCare Security

MalCare is een krachtige, automatische malware-scanner voor WordPress. De plugin scant je website op de achtergrond zonder je snelheid te beïnvloeden, ideaal voor drukke websites.

Wat kun je ermee?

• Detecteert malware die andere scanners missen
• Automatische of handmatige verwijdering van virussen
• Realtime waarschuwingen bij besmetting
• Website firewall inbegrepen

Conclusie

WordPress beveiliging is geen eenmalige taak, maar een doorlopend proces. Door de juiste maatregelen te nemen, zoals sterke wachtwoorden, veilige hosting, back-ups, firewalls en betrouwbare plugins, verklein je de kans op hacks of dataverlies aanzienlijk. Zelfs eenvoudige stappen zoals SSL, het beperken van inlogpogingen of het uitschakelen van bestandbewerking maken al een groot verschil.

Het belangrijkste is dat je regelmatig alert blijft en je website blijft onderhouden. Zo houd je je WordPress-site niet alleen veilig voor jezelf, maar ook voor je bezoekers en klanten. Wil je meer zekerheid of liever dat een professional dit voor je regelt? Neem gerust contact op met ons team van Webmazters, we helpen je graag verder.

Veelgestelde vragen

1. Hoe weet ik of mijn WordPress website gehackt is?

Je merkt dit vaak aan vreemde wijzigingen, trage laadtijden, onbekende gebruikersaccounts of spamlinks in je website. Ook kan Google je waarschuwen via Search Console. Met een scanner zoals Sucuri SiteCheck kun je snel zien of er malware aanwezig is.

2. Wat kost het om een WordPress site te beveiligen?

Veel basismaatregelen zijn gratis, zoals SSL, veilige wachtwoorden en updates. Voor extra bescherming, zoals premium firewalls of security plugins, betaal je meestal tussen de €50 en €200 per jaar. Managed hosting kan ook extra kosten, maar biedt vaak ingebouwde beveiliging.

3. Kan ik mijn WordPress beveiliging helemaal uitbesteden?

Ja, dat kan. Je kunt kiezen voor managed WordPress-hosting of een gespecialiseerde beveiligingsdienst zoals Sucuri of Wordfence Premium. Ook kun je een webbureau zoals Webmazters inschakelen voor onderhoud en beveiliging.

4. Wat is de belangrijkste stap om WordPress veilig te maken?

De belangrijkste basis is dat je altijd je WordPress-versie, plugins en thema’s up-to-date houdt. De meeste hacks ontstaan doordat websites draaien op verouderde software met bekende lekken.

5. Helpt beveiliging ook voor SEO?

Absoluut. Google geeft de voorkeur aan veilige websites met SSL en zonder malware. Als je website wordt gehackt of op de zwarte lijst komt, kan dit je ranking ernstig schaden. Goede beveiliging helpt dus ook om beter zichtbaar te blijven in zoekmachines.