Bestellen
Hosting
Domeinnaam
Ondersteuning
Ontdek

Op deze pagina

Blog / Beveiliging · · ~18 min lezen

Website inlogbeveiliging: aanvallen stoppen in 6 stappen

94% van alle inlogpogingen komt van bots. Leer hoe je website beschermt tegen brute-force, credential stuffing en PhaaS met 6 bewezen beveiligingslagen.

Geschreven door: Pablo Cleij Pablo Cleij
Deel dit artikel

Samenvatting: website inlogbeveiliging

94% van alle inlogpogingen op het web zijn afkomstig van bots, niet van echte bezoekers. Aanvallers breken niet langer in: ze loggen in met gestolen wachtwoorden uit eerdere datalekken. Dit artikel beschrijft 6 bewezen beveiligingslagen, van edge-niveau rate limiting tot phishing-resistente passkeys, waarmee je inlogpagina effectief beschermd is ook als één laag faalt.

Wanneer iemand jouw website probeert binnen te komen, is de kans groot dat het geen mens is. Cloudflare analyseerde in zijn Threat Report 2026 honderden miljarden verbindingen en ontdekte dat 94% van alle inlogpogingen afkomstig is van geautomatiseerde bots.[1] Van de resterende menselijke pogingen maakt 46% gebruik van inloggegevens die al eerder waren gestolen bij een datalek elders.

De aanvallers raden geen wachtwoorden. Ze hoeven dat niet. Er circuleren momenteel 24 miljard gestolen username-wachtwoordcombinaties in underground databases.[4] Die worden automatisch uitgetest op jouw inlogpagina, duizenden tegelijk, elk uur van de dag.

Dit artikel geeft je een gelaagd verdedigingsmodel voor je inlogpagina: van Cloudflare rate limiting tot phishingKeurigOnline zegtPhishingPhishing is een cyberaanval waarbij criminelen zich voordoen als betrouwbare organisaties om gevoelige informatie te stelen.-resistente passkeys. Of je nu WordPressKeurigOnline zegtWordPressWordPress is een open-source contentmanagementsysteem (CMS) geschreven in PHP, waarmee je eenvoudig websites en blogs kunt bouwen en beheren. beheert of een maatwerk-webapplicatie: de zes lagen die hieronder aan bod komen, werken samen en zijn elk afzonderlijk te implementeren, ook zonder groot budget of groot technisch team.

gelaagde verdediging als geneste poppen: een hand sluit de buitenste matryoshka om binnenste lagen te beschermen

Wat zijn credential-based aanvallen? (en waarom jouw site het doelwit is)

Aanvallers richten zich niet meer op softwarefouten of serverexploits. Ze richten zich op inloggegevens: jouw gebruikersnaam en wachtwoord. Drie aanvalstypen domineren het dreigingslandschap.

Brute force

Bij een brute force-aanvalKeurigOnline zegtBrute force-aanvalEen brute force-aanval is een methode waarbij een aanvaller systematisch alle mogelijke combinaties probeert om toegang te krijgen tot een systeem. probeert een bot automatisch duizenden wachtwoordcombinaties totdat er één klopt. Het begint met veelgebruikte wachtwoorden als "123456" of "welkom01" en werkt door naar complexere variaties. Brute force-aanvallen zijn in 2025 bijna verdrievoudigd: van ongeveer 20% naar 60% van alle basiswebapplicatie-incidenten in één jaar tijd.[2]

Credential stuffing

Credential stuffing is slimmer en gevaarlijker. De aanvaller gebruikt geen willekeurige wachtwoorden, maar username-wachtwoordcombinaties die al zijn gelekt bij een datalek bij een andere dienst. Denk aan het lek bij een webshop, een forum of een andere hostingprovider. Die gestolen combinaties worden automatisch uitgetest op jouw inlogpagina.

Het werkt omdat mensen wachtwoorden hergebruiken. Uit Cloudflare-data blijkt dat 63% van alle geslaagde logins op beschermde sites gebruikmaakt van eerder gecompromitteerde inloggegevens.[1] En er is geen gebrek aan materiaal: 24 miljard gestolen credential-paren circuleren momenteel in underground databases, goed voor circa drie complete inlogcombinaties per aardbewoner.[4]

Password spraying

Password spraying omzeilt lockout-systemen die accounts blokkeren na te veel foutieve pogingen. In plaats van veel pogingen op één account te doen, probeert de aanvaller één veelgebruikt wachtwoord uit op duizenden accounts tegelijk. Eén poging per account per dag valt zelden op in logs en triggert geen automatische blokkade.

Wat kost een geslaagde aanval?

Gestolen inloggegevens waren in 2025 de meest gebruikte initiële aanvalsvector en verantwoordelijk voor 22% van alle bevestigde datalekken.[2] De gemiddelde kosten van een datalek via gecompromitteerde inloggegevens bedragen 4,67 miljoen dollar, met een gemiddelde ontdektijd van 246 dagen.[5]

Voor mkb-bedrijven is het beeld niet beter: kleine ondernemingen worden gemiddeld elke 11 seconden getroffen door geautomatiseerde aanvallen, en 12% van alle authenticatiepogingen bij mkb-bedrijven is credential stuffing.[4]

De 6 lagen van effectieve inlogpaginabeveiliging

Één beveiligingsmaatregel is niet genoeg. CrowdStrike toonde in zijn Global Threat Report 2026 aan dat 82% van alle detecties volledig malware-vrij was: aanvallers logden gewoon in met geldige inloggegevens.[3] Een firewallKeurigOnline zegtFirewallEen firewall is een beveiligingssysteem dat netwerkverkeer filtert en ongeautoriseerde toegang tot netwerken en servers blokkeert. of antivirus helpt dan niets. Effectieve inlogpaginabeveiliging werkt gelaagd, van buiten naar binnen.

6 lagen voor je inlogpagina

  1. Rate limiting op edge-niveau: beperk het aantal inlogpogingen per IP voordat het verzoek je server bereikt. Cloudflare of een WAF blokkeert de aanval voordat PHP überhaupt laadt.
  2. Multifactorauthenticatie (MFA/2FA): voeg een tweede verificatiestap toe naast het wachtwoord. Microsoft toont aan dat MFA 99,9% van geautomatiseerde accountcompromitteringen blokkeert.
  3. CAPTCHA of Turnstile: verhoog de aanvalskosten voor bots door een uitdaging te stellen. Gebruik intelligente triggering: alleen tonen na een paar mislukte pogingen, niet bij elke login.
  4. Account lockout met vertraging: vergrendel een account na een reeks mislukte pogingen, per gebruikersnaam én per IP-adres afzonderlijk. Dit is de OWASP dual-bucket-aanpak.
  5. Sterk wachtwoordbeleid: vereis unieke wachtwoorden van minimaal 12 tekens en controleer bij registratie of een wachtwoord voorkomt in bekende lekken via de Have I Been Pwned-database.
  6. Monitoring en alerting: analyseer loginlogs en stel drempelwaarschuwingen in. Een aanval die je vroeg detecteert, kun je stoppen voordat er schade optreedt.

De volgende secties werken elke laag concreet uit, met configuratievoorbeelden en aanbevolen tools. Begin bij laag 1: die biedt de meeste bescherming voor de minste moeite.

Rate limiting op edge-niveau: vóórdat PHP het ziet

Rate limiting instellen in Cloudflare Free

Met een gratis Cloudflare-account stel je een rate limit rule in via Security > WAF > Rate limiting rules. Gebruik de volgende configuratie:

Veld:    URI Path bevat /wp-login.php
         OF URI Path bevat /xmlrpc.php
Methode: POST

Actie:   Challenge (Turnstile) na 5 pogingen per 60 seconden per IP
         Block bij herhaalde overschrijding (duur: 1-24 uur)

Stel de drempel in op maximaal 5 POST-verzoeken per IP per 60 seconden. De "Challenge"-actie toont Cloudflare Turnstile bij de eerste overschrijding. Turnstile is de gratis, privacyvriendelijke CAPTCHAKeurigOnline zegtCaptchaCaptcha is een beveiligingstest die onderscheid maakt tussen mensen en geautomatiseerde programma's (bots).-variant van Cloudflare. Bij herhaalde schending stel je de actie in op "Block" voor een periode van minimaal 1 uur.

Tip: maak twee aparte rate limit rules, één voor /wp-login.php en één voor /xmlrpc.php. Zo stel je de drempel per pad apart in en zie je in de Analytics-tab welk pad het zwaarst aangevallen wordt.

Serveroptie zonder Cloudflare

Gebruik je geen Cloudflare, dan configureer je rate limiting op serverniveau. In NginxKeurigOnline zegtNginxNginx is een open-source webserver, reverse proxy en load balancer die veel gebruikt wordt voor hoogperformante websites. voeg je het volgende toe aan je serverconfiguratie:

limit_req_zone $binary_remote_addr zone=loginzone:10m rate=5r/m;

location = /wp-login.php {
    limit_req zone=loginzone burst=3 nodelay;
    fastcgi_pass unix:/run/php/php-fpm.sock;
    include fastcgi_params;
}

In ApacheKeurigOnline zegtApacheApache HTTP Server is een open source webserver ontwikkeld door de Apache Software Foundation. gebruik je mod_evasive of mod_security voor vergelijkbare beperkingen. Meer kant-en-klare serverconfiguratieblokken vind je in ons overzicht van .htaccess-snippets voor jouw website.

IP-reputatielijsten en geoblocking

Naast rate limiting activeer je IP-reputatielijsten in Cloudflare via Security > Settings > Security Level: stel dit in op "High". Dit blokkeert IP-adressen die Cloudflare al kent als bron van aanvallen, nog vóór jouw rate limit rule wordt bereikt. Als jouw website uitsluitend Nederlandse bezoekers verwacht, overweeg dan geoblocking voor regio's van waaruit je nooit legitiem verkeer ontvangt. Dat vermindert het aanvalsoppervlak aanzienlijk zonder de gebruikerservaring voor echte bezoekers te raken.

MFA en sterke authenticatie instellen

Multifactorauthenticatie voegt een verificatiestap toe naast het wachtwoord. Zelfs als een aanvaller je wachtwoord heeft via credential stuffing, kan hij niet inloggen zonder de tweede factor. Microsoft berekende dat MFA 99,9% van geautomatiseerde accountcompromitteringen blokkeert.[8] Niet alle MFA-vormen zijn even sterk. Er zijn drie niveaus, in oplopende veiligheid.

Niveau 1: SMS of e-mail OTP

Je ontvangt een eenmalige code via sms of e-mail. Dit is beter dan geen MFA, maar heeft zwakheden. Bij SIM-swapping neemt een aanvaller je telefoonnummer over en ontvangt zo je sms-codes. Bovendien onderscheppen moderne PhaaS-platformen deze codes in realtime via Adversary-in-the-Middle-aanvallen. Meer hierover in het volgende hoofdstuk.

Niveau 2: TOTP (tijdgebonden eenmalige code)

Apps als Google Authenticator of Authy genereren elke 30 seconden een nieuwe 6-cijferige code op basis van een gedeeld geheim. Dit is sterk, maar niet onkwetsbaar. Bij 80% van de MFA-bypass-aanvallen steelt de aanvaller de sessiecookie ná de succesvolle MFA-verificatie, waardoor de aanvaller is ingelogd terwijl jij denkt dat alles in orde is.[5]

Niveau 3: FIDO2 en passkeys (aanbevolen voor beheerdersaccounts)

FIDO2-sleutels en passkeys zijn phishing-resistant. De cryptografische sleutel is gebonden aan de exacte domeinnaamKeurigOnline zegtDomeinnaamEen domeinnaam is een uniek webadres gekoppeld aan je website en e-mail, zoals voorbeeld.nl, bedrijf.com of startup.ai.: je sleutel werkt alleen op jouw echte site. Een aanvaller die een nepaanmeldpagina opzet op een ander domein, krijgt niets terug. Passkeys zijn daarmee het enige betrouwbare antwoord op AiTM-aanvallen die TOTP-codes omzeilen.

MFA instellen in WordPress

  • Gratis plugin: WP 2FA ondersteunt TOTP, e-mail OTP en back-upcodes, met afdwingbaar beleid per gebruikersrol
  • Voor passkeys: WP Passkeys voegt FIDO2-ondersteuning toe aan WordPress-logins
  • Stel MFA in als verplicht voor alle Administrator- en Editor-rollen; optioneel voor overige rollen
  • Gebruik WordPress Application Passwords als veiliger alternatief voor API-integraties via XML-RPC, en blokkeer xmlrpc.php voor al het overige verkeer

WordPress-specifiek: wp-login.php en xmlrpc.php dichtzetten

WordPress is het doelwit bij uitstek, simpelweg omdat het op meer dan 40% van alle websites draait. Aanvallers weten exact waar de inlogpagina staat: /wp-login.php. En ze weten dat /xmlrpc.php een tweede ingang biedt die nogal eens vergeten wordt. Hieronder een concreet stappenplan, van snelste impact naar diepgaandere bescherming.

Stap 1: rate limiting op Cloudflare

Stel de Cloudflare-rules in voor /wp-login.php én /xmlrpc.php zoals beschreven in de vorige sectie. Dit is de eerste en meest impactvolle stap: blokkeer het botverkeer voordat het je server raakt.

Stap 2: xmlrpc.php blokkeren via .htaccess

Als je geen legacy integraties hebt die XMLKeurigOnline zegtXMLXML is een opmaaktaal die gebruikt wordt om gestructureerde data uit te wisselen tussen systemen.-RPC gebruiken, blokkeer het bestand dan volledig en verwijder zo het aanvalsoppervlak:

# Blokkeer xmlrpc.php volledig
<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

Voeg dit toe aan het .htaccess-bestand in de WordPress-root. Meer handige .htaccess-snippets voor jouw website vind je in ons overzichtsartikel, inclusief aanvullende beveiligingsconfiguratieblokken.

Stap 3: Limit Login Attempts Reloaded

Installeer de plugin Limit Login Attempts Reloaded als backstop op applicatieniveau. Aanbevolen instellingen: lockout na 5 mislukte pogingen, blokkade van het IP-adres voor 24 uur, en een e-mailmelding aan de admin bij elke lockout. Dit is de laatste vanglijn als de Cloudflare-rate-limit onverhoopt omzeild wordt.

Stap 4: HTTP Basic Authentication op wp-login.php

Voeg een extra authenticatielaag toe vóór de WordPress-loginpagina. Via .htaccess en een .htpasswd-bestand eis je een gebruikersnaam en wachtwoord, nog voordat WordPress laadt:

# Bescherm wp-login.php met HTTP Basic Auth
<Files wp-login.php>
    AuthType Basic
    AuthName "Beheerderstoegang"
    AuthUserFile /pad/naar/.htpasswd
    Require valid-user
</Files>

Genereer het .htpasswd-bestand via de commandoregel met htpasswd -c /pad/naar/.htpasswd gebruikersnaam. Bewaar het bestand buiten de webroot zodat het niet direct opvraagbaar is.

Stap 5: login-URL verplaatsen

Met de plugin WPS Hide Login verander je de URL van /wp-login.php naar een zelfgekozen pad. Dit is geen vervanging voor de maatregelen hierboven, maar het filtert geautomatiseerde scanners die standaard /wp-login.php zoeken en niets anders proberen. Verwacht een directe daling van het aanvalsverkeer op de inlogpagina na activatie.

Let op:

  • Bewaar je aangepaste login-URL op een veilige plek: als je hem vergeet, kun je niet meer inloggen
  • Sommige caching-plugins slaan de omleidingspagina op: test na activatie altijd of de login nog correct werkt
  • Verplaatsen van de login-URL is een aanvulling, geen vervanging van rate limiting en MFA

Phishing-as-a-Service: wanneer MFA niet meer genoeg is

een derde hand onderschept een handdruk en steelt de sleutel: metafoor voor een AiTM-aanval

Je hebt MFA ingeschakeld, je inlogpagina is beschermd met rate limiting, je wachtwoord is sterk en uniek. Dan toch krijgt een aanvaller toegang. Hoe?

Via Phishing-as-a-Service (PhaaS): kant-en-klare phishing-toolkits die criminelen als maandabonnement kopen voor 200 tot 350 euro. Ze bevatten AI-gegenereerde nep-e-mails, realtime dashboards en technologie die MFA-codes in real-time onderschept. De drempel om een aanval te lanceren is vrijwel nul: geen technische kennis vereist.

Hoe werkt AiTM?

Bij een Adversary-in-the-Middle (AiTM)-aanval plaatst het PhaaS-platform een onzichtbare reverse proxyKeurigOnline zegtReverse proxyEen reverse proxy is een server die verzoeken ontvangt en doorstuurt naar backend-servers. tussen de gebruiker en de echte website. Je denkt in te loggen op jouw normale loginpagina. Je vult je wachtwoord in en je MFA-code. De proxy stuurt die gegevens door naar de echte site, ontvangt de sessiecookie terug en is nu ingelogd als jou, terwijl jij ook ingelogd lijkt. Jouw TOTP-code was al geldig en verbruikt: nutteloos als verdediging.

Barracuda Networks detecteerde in januari en februari 2025 meer dan 1 miljoen PhaaS-aanvallen. Het platform Tycoon 2FAKeurigOnline zegt2FA2FA (tweefactorauthenticatie) is een beveiligingsmethode die naast je wachtwoord een tweede verificatie vereist. was verantwoordelijk voor 89% van alle PhaaS-incidenten in die periode.[6] In mei 2026 waarschuwde de FBI voor Kali365, een nieuw PhaaS-platform dat Microsoft 365 OAuth-tokens steelt en MFA volledig omzeilt zonder het wachtwoord te kennen.[7]

Tegenmaatregelen tegen PhaaS en AiTM

FIDO2 en passkeys zijn de enige MFA-methode die AiTM structureel tegenhoudt. De cryptografische sleutel is gebonden aan de exacte domeinnaam. Een phishing-proxy die op een ander domein draait, krijgt nooit een geldige sleutelrespons terug. Passkeys zijn phishing-resistant by design.

DMARCKeurigOnline zegtDMARCDMARC is een e-mailbeveiligingsprotocol dat domeinen beschermt tegen phishing en spoofing via SPF en DKIM. instellen op je domein pakt het probleem bij de bron aan: het voorkomt dat aanvallers e-mails sturen die lijken te komen van jouw domein. Cloudflare meet dat 46% van alle geanalyseerde e-mails momenteel niet slaagt voor DMARC-authenticatie.[1] Stel DMARC, SPF en DKIMKeurigOnline zegtDKIMDKIM beveiligt e-mails met een digitale handtekening om spam tegen te gaan. in via je DNSKeurigOnline zegtDNSHet Domain Name System (DNS) vertaalt domeinnamen naar IP-adressen, zodat websites makkelijk bereikbaar zijn.-beheer. Ons artikel over DNSSEC op je domein inschakelen legt uit hoe je een bredere laag domeinbeveiliging opzet die PhaaS-aanvallen verder bemoeilijkt.

Conditional Access blokkeert inlogpogingen vanaf onbekende apparaten of ongebruikelijke locaties. Als een sessie plots verschijnt vanuit een ander land of op een nieuw apparaat, wordt die geblokkeerd of vereist een extra verificatiestap. Dit is beschikbaar via Azure AD, Google Workspace of andere identiteitsplatformen.

PhaaS-tegenmaatregelen op een rij

  • Gebruik FIDO2 of passkeys voor alle kritieke accounts: phishing-resistant by design, ook tegen AiTM
  • Stel DMARC, SPF en DKIM in op je domein om e-mailspoofing te blokkeren
  • Activeer Conditional Access voor aanmeldingen vanaf onbekende apparaten en locaties
  • Train medewerkers: een e-mail die vraagt om MFA-verificatie via een link is een aanvalssignaal, geen legitiem verzoek

Monitoring en alerting: aanvallen herkennen voordat het te laat is

Een aanval die je vroeg detecteert, kun je stoppen. Een aanval die pas na 246 dagen wordt ontdekt, kost gemiddeld 4,67 miljoen dollar.[5] Goede monitoring is daarmee niet alleen technisch zinvol, maar financieel de moeite meer dan waard.

Signalen van een actieve aanval

Kijk in je access logs op de volgende patronen:

  • Pieken in POST-requests naar /wp-login.php, /xmlrpc.php, /login of andere authenticatie-endpoints. Een plotselinge stijging van 50 naar 5.000 POST-verzoeken per uur is een duidelijk signaal.
  • Verhoogde 401- en 403-foutcodes in je serverlogboek. Veel mislukte inlogpogingen produceren een stroom van 401 Unauthorized-codes.
  • 429 Too Many Requests: als je rate limiting al actief is, zie je dit wanneer de limiet wordt bereikt. Dit bewijst dat de maatregel werkt, maar ook dat er actief aangevallen wordt.
  • Ongebruikelijke locaties of user agents: inlogpogingen vanuit landen waar je normaal geen bezoekers hebt, of user agents als python-requests of curl bij inlogpogingen, zijn betrouwbare aanvalssignalen.

Praktische tools

Cloudflare Security Events is de snelste optie als je al Cloudflare gebruikt. Via Security > Events zie je realtime een overzicht van geblokkeerde verzoeken, rate-limited IP-adressen en CAPTCHA-uitdagingen. Filter op endpoint om te zien welke aanvalspaden het zwaarst worden belast.

GoAccess is een open-source commandoregeltool voor real-time analyse van access logs. Draai het rechtstreeks op je server:

goaccess /var/log/apache2/access.log -c --log-format=COMBINED

Je krijgt direct een dashboard met topverzoeken, foutcodes en geografische verdeling van verkeer. GoAccess werkt ook met NginxKeurigOnline zegtNginxNginx is een open-source webserver, reverse proxy en load balancer die veel gebruikt wordt voor hoogperformante websites.-logs en is daarmee breed inzetbaar.

Wordfence Live Traffic toont in WordPress-dashboard inlogpogingen, geblokkeerde IP-adressen en aanvalsbronnen per minuut, zonder dat je in serverlogbestanden hoeft te zoeken.

Stel drempelwaarschuwingen in

Configureer een e-mailwaarschuwing wanneer het aantal mislukte logins een drempel overschrijdt, bijvoorbeeld meer dan 50 mislukte pogingen per uur. In Wordfence stel je dit in via Wordfence > Alerts. In Cloudflare maak je Notifications aan op basis van security-events via Account > Notifications.

Schrijf logingebeurtenissen ook naar een externe logfile of een eenvoudig SIEM. Als je ooit een incident moet reconstrueren, is een aantoonbare audit trail onmisbaar. Zorg er tegelijk voor dat je een SSL-certificaat correct hebt ingesteld: zonder HTTPS gaan inloggegevens onversleuteld over het netwerk en zijn ze onderschepbaar voordat ze je server bereiken.

Checklist: website inlogbeveiliging in 10 stappen

Gebruik onderstaande lijst als werkplan. Elke stap bevat een tijdindicatie: direct uitvoerbaar binnen een uur, te plannen voor deze week, of evalueerbaar dit kwartaal.

Inlogbeveiliging in 10 stappen

  1. Rate limiting inschakelen op Cloudflare of WAF voor /wp-login.php en /xmlrpc.php: maximaal 5 POST-verzoeken per IP per minuut, Challenge bij eerste overschrijding, Block bij herhaling. (Direct)
  2. MFA verplichten voor alle beheerdersaccounts. Begin met TOTP via een authenticator-app; upgrade naar FIDO2 of passkeys voor kritieke accounts. (Direct)
  3. xmlrpc.php blokkeren als je het niet actief gebruikt. Verwijder het aanvalsoppervlak volledig via .htaccess of Cloudflare WAF. (Direct)
  4. Limit Login Attempts Reloaded installeren als backstop op applicatieniveau: lockout na 5 pogingen, 24 uur blokkade per IP, e-mailmelding aan admin. (Direct)
  5. Wachtwoordbeleid aanscherpen: vereis minimaal 12 unieke tekens per dienst. Adviseer medewerkers een wachtwoordmanager zoals Bitwarden of 1Password te gebruiken. (Direct)
  6. DMARC-record instellen op je domein, naast SPF en DKIM. Dit voorkomt e-mailspoofing die de aanvalspoort opent voor PhaaS-campagnes. (Deze week)
  7. Login-monitoring en alerting activeren: drempelmelding bij meer dan 50 mislukte pogingen per uur via Cloudflare Notifications of Wordfence Alerts. (Deze week)
  8. FIDO2 en passkeys evalueren voor beheerdersaccounts. Phishing-resistente authenticatie is de enige structurele maatregel tegen AiTM-aanvallen die TOTP omzeilen. (Dit kwartaal)
  9. HTTPS overal verplichten, inclusief op het inlogformulier zelf. Zonder SSL gaan inloggegevens onversleuteld over het netwerk. Meer over het belang van een SSL-certificaat voor jouw website. (Dit kwartaal)
  10. Credentials controleren via Have I Been Pwned (haveibeenpwned.com): controleer regelmatig of e-mailadressen van medewerkers voorkomen in bekende lekken en update wachtwoorden direct als dat het geval is. (Doorlopend)

Met de eerste vijf stappen sluit je de grootste aanvalsvectoren al in de loop van één werkdag. De overige vijf verlagen het restrisico en bereiden je voor op geavanceerdere dreigingen zoals PhaaS.

Veelgestelde vragen over website inlogbeveiliging

Wat is credential stuffing en hoe verschilt het van brute force?

Bij een brute force-aanvalKeurigOnline zegtBrute force-aanvalEen brute force-aanval is een methode waarbij een aanvaller systematisch alle mogelijke combinaties probeert om toegang te krijgen tot een systeem. probeert een bot systematisch willekeurige wachtwoordcombinaties totdat er één klopt. Credential stuffing werkt anders: de aanvaller gebruikt echte username-wachtwoordcombinaties die al zijn gestolen bij een datalek bij een andere dienst, en test die automatisch uit op jouw inlogpagina. Credential stuffing is veel efficiënter, want de wachtwoorden zijn al bekend. Omdat 46% van mensen wachtwoorden hergebruikt op meerdere sites, heeft de aanvaller een hoge kans op succes zonder ook maar één wachtwoord te raden.

Helpt een sterk wachtwoord nog als ik overal hetzelfde gebruik?

Nee. Een sterk wachtwoord dat je hergebruikt op meerdere sites is nutteloos zodra één van die sites een datalek heeft. De gestolen combinatie wordt dan automatisch uitgetest op alle andere sites. Unieke wachtwoorden per dienst, beheerd via een wachtwoordmanagerKeurigOnline zegtWachtwoordmanagerEen wachtwoordmanager is software die al je wachtwoorden veilig en versleuteld opslaat., zijn essentieel. Credential stuffing werkt precies omdat wachtwoordhergebruik zo wijdverspreid is: 24 miljard gestolen credential-paren circuleren momenteel in underground databases.

Blokkeert MFA alle inlogaanvallen?

MFA blokkeert 99,9% van geautomatiseerde accountcompromitteringen. Maar moderne PhaaS-platformen met Adversary-in-the-Middle-technologie omzeilen SMS-codes en TOTP-codes door de sessiecookie in realtime te onderscheppen, nog terwijl je aan het inloggen bent. De enige MFA-methode die hiertegen bestand is, zijn FIDO2-sleutels en passkeys: die zijn cryptografisch gebonden aan de exacte domeinnaamKeurigOnline zegtDomeinnaamEen domeinnaam is een uniek webadres gekoppeld aan je website en e-mail, zoals voorbeeld.nl, bedrijf.com of startup.ai. en werken simpelweg niet op een phishing-domein.

Wat is de snelste manier om wp-login.php te beveiligen?

De snelste eerste stap: activeer een Cloudflare rate limit rule met maximaal 5 POST-verzoeken per minuut per IP op /wp-login.php en /xmlrpc.php. Dit blokkeert geautomatiseerde aanvallen voordat ze je server bereiken, en is binnen 10 minuten ingesteld. Voeg daarna een 2FA-plugin toe voor alle adminaccounts. Met die twee maatregelen sluit je het grootste deel van het aanvalsoppervlak al af.

Hoe weet ik of mijn website actief aangevallen wordt?

Controleer je access logs op herhaalde POST-requests naar /wp-login.php of andere inlog-endpoints. Signalen zijn: een plotselinge piek in 401- en 403-foutcodes, langzamere responstijden op de inlogpagina, en inlogpogingen vanuit landen of met user agents die je normaal niet ziet. Gebruik je Cloudflare, dan geeft de Security Events-pagina een realtime overzicht van geblokkeerde verzoeken en aanvalsbronnen. Wordfence Live Traffic doet hetzelfde rechtstreeks in je WordPressKeurigOnline zegtWordPressWordPress is een open-source contentmanagementsysteem (CMS) geschreven in PHP, waarmee je eenvoudig websites en blogs kunt bouwen en beheren.-dashboard.

Wat is Phishing-as-a-Service (PhaaS) en moet ik me er zorgen over maken?

PhaaS zijn kant-en-klare phishing-toolkits die criminelen als maandabonnement kopen voor 200 tot 350 euro. Ze bevatten AI-gegenereerde nep-e-mails, MFA-bypass-technologie (AiTM) en realtime dashboards. De drempel om een aanval te lanceren is vrijwel nul, ook voor mensen zonder technische kennis. Barracuda detecteerde in slechts twee maanden tijd meer dan 1 miljoen PhaaS-aanvallen. Elke website kan doelwit zijn, ook kleine mkb-sites.

Moet ik CAPTCHA instellen op mijn inlogpagina?

CAPTCHAKeurigOnline zegtCaptchaCaptcha is een beveiligingstest die onderscheid maakt tussen mensen en geautomatiseerde programma's (bots). verhoogt de aanvalskosten voor bots, maar is op zichzelf geen afdoende maatregel. Geavanceerde bots omzeilen eenvoudige CAPTCHA-varianten. De meest effectieve aanpak is intelligente triggering: toon de uitdaging pas na een paar mislukte pogingen, niet bij elke login. Cloudflare Turnstile is een gratis en privacyvriendelijke optie die goed werkt als aanvulling op rate limiting en MFA. Gebruik het als onderdeel van het gelaagde verdedigingsmodel, niet als vervanging van andere lagen.

Bronnen

  • Cloudflare Threat Report 2026 - blog.cloudflare.com/2026-threat-report: 94% van alle inlogpogingen zijn bots; 63% geslaagde logins met gecompromitteerde credentials; 46% van e-mails slaagt niet voor DMARCKeurigOnline zegtDMARCDMARC is een e-mailbeveiligingsprotocol dat domeinen beschermt tegen phishing en spoofing via SPF en DKIM.. [1]
  • Verizon Data Breach Investigations Report 2025 - aembit.io (DBIR 2025-analyse): gestolen credentials in 22% van alle datalekken; brute force bijna verdrievoudigd naar 60%; 12% authenticatiepogingen mkb is credential stuffing. [2]
  • CrowdStrike Global Threat Report 2026 - crowdstrike.com: 82% detecties malware-vrij; 89% meer AI-ondersteunde aanvallen in 2025. [3]
  • CyberfencePlatform 2026 - cyberfenceplatform.com: 24 miljard gestolen credential-paren in omloop; mkb getroffen elke 11 seconden; 12% authenticatiepogingen is credential stuffing. [4]
  • IBM Cost of a Data Breach 2025 / Stingrai 2026 - stingrai.io: gemiddelde breachkosten 4,67 miljoen dollar; gemiddelde ontdektijd 246 dagen; 80% van MFA-bypass-aanvallen via AiTM-sessietoken-diefstal. [5]
  • Barracuda Networks Threat Spotlight: PhaaS (2025) - blog.barracuda.com: meer dan 1 miljoen PhaaS-aanvallen in januari-februari 2025; Tycoon 2FAKeurigOnline zegt2FA2FA (tweefactorauthenticatie) is een beveiligingsmethode die naast je wachtwoord een tweede verificatie vereist. verantwoordelijk voor 89% van PhaaS-incidenten. [6]
  • FBI IC3 PSA, mei 2026 - ic3.gov: Kali365 PhaaS-platform steelt Microsoft 365 OAuth-tokens en omzeilt MFA volledig zonder het wachtwoord te kennen. [7]
  • OWASP Credential Stuffing Prevention Cheat Sheet - cheatsheetseries.owasp.org: MFA blokkeert 99,9% van geautomatiseerde compromitteringen; aanbevolen dual-bucket rate limiting per username en per IP. [8]
  • MojoAuth Authentication Security Threat Landscape 2026 - mojoauth.com: 47% jaar-op-jaar groei in credential stuffing-aanvallen in 2025; 26 miljard aanvalspogingen per maand wereldwijd. [9]
  • Flashpoint: The PhishingKeurigOnline zegtPhishingPhishing is een cyberaanval waarbij criminelen zich voordoen als betrouwbare organisaties om gevoelige informatie te stelen.-as-a-Service Pipeline - flashpoint.io: technische uitleg van AiTM-technieken in PhaaS-aanvallen en de schaal van het PhaaS-ecosysteem. [10]