WordPress-bots blokkeren is iets wat elke website-eigenaar serieus moet nemen. Kwaadaardige bots kunnen je website trager maken, spamreacties plaatsen, of zelfs je data stelen. Gelukkig kun je ze met een paar eenvoudige stappen stoppen. In dit artikel leggen we stap-voor-stap uit hoe je deze schadelijke bots kunt blokkeren via het htaccess-bestand of met behulp van beveiligingsplugins.

Zo bescherm je je WordPress-site beter tegen spam, overbelasting en andere digitale aanvallen.

Wat zijn kwaadaardige bots en hoe herken je ze?

WordPress-bots blokkeren op laptop met een skelet-hand als symbool voor kwaadaardige bots
WordPress-bots blokkeren voorkomt dat kwaadwillende processen ongewenste acties op je website uitvoeren

Niet alle bots zijn slecht. Google gebruikt bijvoorbeeld bots om pagina’s te indexeren. Maar sommige bots proberen schade aan te richten door spam te verspreiden, gegevens te stelen of overmatig verkeer te veroorzaken.

Om WordPress-bots te blokkeren, moet je weten welke bezoekers echt zijn en welke verdacht. Er zijn drie manieren om dat te ontdekken.

Wil je naast WordPress-bots blokkeren ook je hele site beter beschermen tegen hackers en lekken, dan is het handig om ook ons uitgebreide artikel WordPress beveiliging: 23 tips om je website te beschermen te lezen.

Eerste manier: het Raw Access-logbestand bekijken

Een van de duidelijkste manieren om verdachte bots te herkennen, is door het logbestand van je website te bekijken. Dit bestand bevat gegevens van alle bezoekers, inclusief IP-adressen, gebruikte browsers en landen van herkomst.

Je kunt dit bestand meestal vinden in het controlepaneel van je hostingprovider, zoals cPanel, DirectAdmin of Plesk. Zoek daar naar een onderdeel met namen als Access Logs, Raw Access, of Statistics. Download het logbestand, vaak te vinden onder de naam raw-access-logs.gz, en open het op je computer.

Daar zie je precies welke IP’s je site bezoeken en hoe vaak. Als je vreemde of herhaalde aanvragen ziet van onbekende bronnen, gaat het waarschijnlijk om kwaadaardige bots.

Als je dit soort logbestanden interessant vindt en meer manieren wilt ontdekken om bezoekersaantallen en gedrag te meten, kijk dan eens naar Aantal website bezoekers achterhalen? De 12 beste tools.

Tweede manier: bekende lijsten met slechte bots opzoeken

Er zijn online veel lijsten beschikbaar met bekende schadelijke UserAgents. Dit zijn herkenbare namen die bots gebruiken om zichzelf te identificeren. Je kunt zulke lijsten eenvoudig vinden door op Google te zoeken naar “bad bots list htaccess” of “malicious user agents”. Kopieer deze namen en gebruik ze later bij het blokkeren.

Derde manier: verdachte bots vinden met de plugin Wordfence

Een praktische manier om verdachte bots te herkennen is via de beveiligingsplugin Wordfence. Deze plugin toont live verkeer naar je website, zodat je kunt zien welke gebruikers actief zijn. Vaak zie je daar verdachte IP-adressen of bots met rare namen. Wordfence laat je die vervolgens direct blokkeren.

Download de plugin uit de officiële WordPress Plugin Directory, installeer en activeer hem. Je vindt daarna een nieuw menu-item genaamd Wordfence in je dashboard. Ga naar Tools, open de tab Live Traffic en bekijk daar de actuele bezoekersactiviteit.

WordPress-bots blokkeren met twee eenvoudige methodes

WordPress-bots blokkeren door kwaadwillende dataverzoeken en verdachte code tegen te houden
WordPress-bots blokkeren is belangrijk om je website te beschermen tegen automatische aanvallen en overbelasting

Er zijn twee manieren om schadelijke WordPress-bots te blokkeren: via het htaccess-bestand of met een beveiligingsplugin. Beide methoden werken goed, maar het gebruik van een plugin is vaak makkelijker voor beginners.

Methode 1: WordPress-bots blokkeren met htaccess

Het htaccess-bestand bevindt zich meestal in de hoofdmap van je website, bijvoorbeeld in de map public_html of httpdocs. Maak altijd eerst een back-up voordat je iets aanpast.

Open daarna het bestand via je hostingpaneel of via FTP. Zoek in het bestand naar de bestaande basisregels, zoals RewriteEngine On, en plak deze nieuwe regels daar direct onder op een eigen, lege regel. Plaats de code niet midden in een ander blok met instellingen, maar altijd eronder of erboven, zodat alle bestaande regels netjes blijven staan.

SetEnvIfNoCase User-Agent .*ahrefsbot.* bad_bot
SetEnvIfNoCase User-Agent .*dotbot.* bad_bot
<Limit GET POST HEAD>
  Order Allow, Deny
  Allow from all
  Deny from env=bad_bot
<Limit/>

Met deze regels geef je je server opdracht om bots met bepaalde UserAgents te blokkeren. In dit voorbeeld worden de bots “ahrefsbot” en “dotbot” geblokkeerd. Je kunt hier ook andere namen inzetten die je eerder hebt gevonden. Wanneer een bot met die naam probeert je site te bezoeken, wordt de toegang automatisch geweigerd.

Omdat je bij het aanpassen van htaccess en andere serverbestanden soms tegen foutmeldingen of rechtenproblemen kunt aanlopen, is het slim om ook Bestands- en mappermissies in WordPress: wat het zijn én hoe je ze oplost door te nemen.

Methode 2: kwaadaardige verzoeken blokkeren met een plugin

Als je liever geen code aanpast, kun je een beveiligingsplugin gebruiken. Hiermee kun je eenvoudig kwaadaardige bots blokkeren met een paar klikken. Enkele populaire en betrouwbare plugins zijn:

Hiermee kun je verdachte IP’s, landen of specifieke patronen blokkeren.

Wil je breder kijken naar welke tools jouw site veiliger, sneller en gebruiksvriendelijker maken, dan geeft het artikel Beste WordPress plugins die op elke website horen je een goed overzicht.

Schadelijke verzoeken blokkeren met Wordfence

Wordfence is een krachtige plugin die je website beschermt tegen bots en hackers. Toch moet je voorzichtig zijn met de instellingen, want verkeerde configuraties kunnen ervoor zorgen dat ook nuttige bots, zoals die van Google, worden geblokkeerd.

Na installatie ga je in het WordPress-dashboard naar Wordfence > Firewall en klik je op Blocking. Hier kun je kiezen hoe je bots wilt blokkeren:

  1. Selecteer of je op IP, land of patroon wilt blokkeren.
  2. Vul de gegevens in van de bots die je eerder hebt gevonden.
  3. In het veld “Reden van blokkade” vul je het woord Spam in.
  4. Klik op “Blokkeer bezoekers volgens dit patroon”.

Scrol iets naar beneden en je ziet een lijst met alle geblokkeerde bezoekers. Zo houd je overzicht over wie of wat je hebt uitgesloten.

Als je merkt dat je site soms traag wordt of het zwaar krijgt door veel verkeer, dan helpt het artikel WordPress website sneller maken: 23 bewezen methodes je om prestaties te verbeteren naast het blokkeren van bots.

Conclusie

WordPress-bots blokkeren is geen ingewikkeld proces, maar het beschermt je website enorm. Of je nu kiest voor de htaccess-methode of liever werkt met een plugin zoals Wordfence, beide opties helpen je om je site sneller, veiliger en schoner te houden. Het belangrijkste is dat je regelmatig controleert welke bots actief zijn en tijdig actie onderneemt.

Veelgestelde vragen

1. Worden alle bots geblokkeerd met deze methodes?

Nee, alleen de bots die je zelf toevoegt of die door de plugin worden herkend. Nuttige bots, zoals die van Google, blijven actief zolang je ze niet handmatig blokkeert.

2. Kan het blokkeren van bots invloed hebben op mijn SEO?

Alleen als je per ongeluk goede bots blokkeert. Controleer dus altijd de lijst met geblokkeerde UserAgents.

3. Wat als ik geen toegang heb tot mijn htaccess-bestand?

Gebruik dan een plugin zoals Wordfence of MalCare. Ze bieden dezelfde bescherming zonder dat je bestanden hoeft aan te passen.

4. Hoe vaak moet ik controleren op kwaadaardige bots?

Minstens één keer per maand, of vaker als je plotseling veel spam of ongewoon verkeer ziet.

5. Zijn er nog andere beveiligingstips voor WordPress?

Ja, houd je plugins en thema’s altijd up-to-date, gebruik sterke wachtwoorden en installeer alleen betrouwbare plugins.