Je winkelwagen is leeg
Producten die je toevoegt, verschijnen hier.
86% van alle phishingaanvallen is nu AI-gestuurd. Bescherm je website en e-mail met dit 5-stappenplan: SPF/DKIM/DMARC, WAF, FIDO2 en domeinmonitoring.
Samenvatting: website beveiliging tegen AI-phishing
Website beveiliging tegen phishing via AI is in 2026 urgenter dan ooit: 86% van alle phishingaanvallen wordt aangestuurd door AI. Aanvallers klonen websites in minuten, spoofen jouw e-maildomein en omzeilen standaard MFA met reverse-proxy kits. Dit 5-stappenplan beschermt je website én e-maildomein: SPF/DKIM/DMARC op p=reject, defensieve domeinregistraties plus monitoring, WAF en Content Security Policy, phishing-resistente FIDO2-authenticatie, en geautomatiseerde controle via internet.nl en MXToolbox.
Een phishingmail met perfecte spelling, jouw eigen logo en een geloofwaardig afzendadres. Je klant klikt, voert zijn wachtwoord in op een exacte kopie van jouw website, en je merkt het pas maanden later. De gemiddelde detectietijd in Nederland is 204 dagen.[4]
Eerder vergde het opzetten van een overtuigende phishingcampagne zestien uur werk. Vandaag kost het vijf minuten.[3] AI schrijft foutloze teksten, kloont websites pixel-perfect en personaliseert aanvallen op grote schaal. De totale phishingschade in Nederland bedroeg in 2025 al €168 miljoen, met een gemiddelde van €4.800 per aanval.[4]
Dit artikel richt zich specifiek op Nederlandse website-eigenaren met een WordPress
KeurigOnline zegtWordPress
KeurigOnline zegtShared hosting


Definitie: AI-phishing is een cyberaanval waarbij grote taalmodellen worden ingezet om phishingberichten, kloonwebsites en deepfake-communicatie te genereren die niet meer te onderscheiden zijn van legitieme communicatie.
Traditionele phishing
KeurigOnline zegtPhishing
Inmiddels is 86% van alle phishingaanvallen AI-gestuurd, een stijging van 80% in 2024 naar 86% nu.[1] Die AI-phishingmails halen een click-through rate van 54%, tegenover 12% voor traditionele phishing.[2] AI bracht de campagnevoorbereidingstijd terug van zestien uur naar vijf minuten,[3] terwijl de totale phishingschade in Nederland in 2025 €168 miljoen bedroeg, gemiddeld €4.800 per aanval.[4]
Meer achtergrondinformatie over hoe AI-tools ook door kwaadwillende partijen worden ingezet, lees je in ons artikel over het Google AI-ecosysteem.
AI-phishing richt zich niet alleen op eindgebruikers, maar specifiek op de infrastructuur van website-eigenaren. Vier aanvalspatronen zijn direct relevant:
Belangrijk om te weten: 95,2% van alle phishingpogingen verbergt zich al achter versleuteld HTTPS-verkeer.[5] Een slotje in de adresbalk is geen bewijs van een betrouwbare site. Website-kloning en AI-gebaseerde webcrawlers maken het voor aanvallers eenvoudiger dan ooit om een perfecte imitatie van jouw site te bouwen.
Dit is de meest impactvolle stap, en tegelijk de meest gemiste: slechts 22,9% van alle domeinen heeft DMARC-enforcement actief.[6] De drie lagen werken samen als een sluitend systeem:
p=none (alleen monitoren), p=quarantine (spam), of p=reject (weigeren). Alleen p=reject beschermt effectief.p=none en voeg een rua= rapportage-adres toe. Je ontvangt dan dagelijkse XMLp=quarantine als de rapporten laten zien dat legitieme e-mail correct wordt geauthenticeerd.p=reject. Vanaf dit moment worden nep-e-mails met jouw domein geweigerd bij de ontvanger.Test je huidige configuratie gratis via internet.nl, het testplatform van het NCSC. Slechts 5,25% van de Nederlandse maildomeinen scoort hier 100%, er is dus werk aan de winkel.[7]
DMARC beschermt jouw exacte domein. Aanvallers registreren dan een variant: jouwbedrijf-factuur.nl, jouwebdrijf.nl of een internationaal karakter dat er identiek uitziet. Twee concrete maatregelen helpen hiertegen:
Defensieve domeinregistraties: registreer de meest voor de hand liggende typosquats van jouw domeinnaam
KeurigOnline zegtDomeinnaam
Domeinmonitoring: stel automatische alerts in die nieuwe lookalike-registraties signaleren via Certificate Transparency-logs. Gratis opties: MXToolbox (DMARC-monitoring en alerts) en OpenBait.com (CT-log monitoring). Betaald en uitgebreider: CloneDetector.com met meer dan 38 detectiemethoden inclusief visuele hash-vergelijking van de website zelf.
Snelle actie bij een kloondomein is essentieel: een klant die op jouwebdrijf.nl klikt, ziet een perfecte kopie van jouw site en vermoedt niets.
Vier beveiligingslagen voor de website zelf, van fundamenteel naar geavanceerd:
HTTPS versleutelt het verkeer tussen bezoeker en server. Het zegt niets over de betrouwbaarheid van de site zelf. Stel het in als basis en combineer het met de lagen hieronder. Lees hoe je dit correct configureert in ons artikel over SSL-certificaten en websiteveiligheid.
Een Web Application Firewall
KeurigOnline zegtFirewall/wp-login.php (maximaal 10 verzoeken per minuut per IP) en blokkeer /xmlrpc.php voor niet-API
KeurigOnline zegtAPI
Een Content Security Policy (CSP) vertelt de browser welke scripts en bronnen geladen mogen worden. Begin met de header Content-Security-Policy-Report-Only om schendingen te loggen zonder de site te breken. Scherp daarna geleidelijk aan. Aanvullende security headers
KeurigOnline zegtSecurity Headers
KeurigOnline zegtHSTS.htaccess. Kant-en-klare snippets vind je in ons overzicht van 20 .htaccess code snippets.
WordPress drijft 43% van het internet en ontvangt daardoor 90.000 geautomatiseerde aanvallen per minuut. Drie directe acties: verberg de standaard wp-admin-URL, schakel XML
KeurigOnline zegtXML
KeurigOnline zegtAPI

Dit is de meest onderschatte stap. Standaard MFA beschermt niet tegen AiTM-aanvallen (Adversary-in-the-Middle). Hoe het werkt: een AiTM-proxy staat tussen jou en de echte dienst. Jij logt in, voert je MFA-code in, en de proxy onderschept de sessiecookie. De aanvaller heeft daarna 24 tot 72 uur volledige toegang, zonder dat je wachtwoord of telefoon nodig is.
59% van alle gecompromitteerde accounts had MFA ingeschakeld op het moment van compromis.[8] AiTM-phishingkits zoals Tycoon 2FA
KeurigOnline zegt2FA
Voor WordPress: installeer een passkey-plugin voor wp-admin. Google Workspace en Microsoft 365 ondersteunen FIDO2 al volledig. Hardware-opties zijn een YubiKey (circa €30 tot €50) of een YubiKey-as-a-Service-abonnement voor teams.
Bescherming is pas compleet als je weet dat het werkt. Gebruik deze toolset om je configuratie te verifiëren:
Niet meer op spelfouten of slechte grammatica: AI produceert perfect Nederlands. Let op of het domein in de URL exact identiek is aan het echte adres. Een wachtwoordmanager
KeurigOnline zegtWachtwoordmanager
Nee. Volgens Zscaler ThreatLabz 2026 verbergt 95,2% van alle phishingpogingen zich achter HTTPS. Het slotje betekent dat de verbinding versleuteld is, niet dat de site betrouwbaar is. HTTPS is een noodzakelijke basislaag, maar vervangt een WAF, CSP en DMARC niet.
SPF legt vast welke mailservers e-mail mogen versturen namens jouw domein. DKIM
KeurigOnline zegtDKIM
Niet volledig. AiTM-aanvallen onderscheppen de sessiecookie nadat jij succesvol hebt ingelogd én je MFA-code hebt ingevoerd. Zowel SMS-codes als TOTP-apps als push-notificaties zijn kwetsbaar. De enige volledig phishing-resistente methode is FIDO2 of passkeys: de browser weigert de sleutel te gebruiken op een ander domein dan het origineel, waardoor AiTM architectureel onmogelijk wordt.
Twee aanvullende maatregelen: registreer defensief de meest voor de hand liggende typosquats van jouw domein, en stel domeinmonitoring in die nieuwe lookalike-registraties signaleert via Certificate Transparency-logs (MXToolbox-alerts of OpenBait.com). Zorg ook dat DMARC op p=reject staat: dan kan niemand legitiem lijkende e-mail versturen vanaf jouw exacte domein.
WordPress
KeurigOnline zegtWordPress