WordPress beveiligen: 12 praktische tips [2026 gids]

Elk jaar worden miljoenen websites gehackt. De gemiddelde schade bedraagt €3.86 miljoen per datalek volgens IBM's Cost of a Data Breach Report 2023. Het gaat niet alleen om financiële schade. Een gehackte website betekent ook verlies van klantvertrouwen en SEO-penalties van Google. In sommige gevallen volgen zelfs juridische consequenties onder de AVG en GDPR.

WordPress beveiliging is geen luxe maar een absolute noodzaak. Meer dan 43% van alle websites draait op WordPress, wat het een populair doelwit maakt voor hackers. Volgens het Sucuri 2023 Hacked Website Report was 96,2% van alle gehackte CMSKeurigOnline zegtCMSEen CMS is een platform om webcontent eenvoudig te creëren, beheren en publiceren zonder te coderen.-websites een WordPress site. Hiervan was 39% outdated op het moment van infectie, en in 14% van de gevallen was een kwetsbare plugin de oorzaak. Kleinere WordPress sites zijn vaak juist een makkelijker doelwit omdat ze minder goed beveiligd zijn.

Dit artikel leert je 12 praktische stappen om je WordPress website te beveiligen. We beginnen met de basis zoals sterke wachtwoorden en SSL-certificaten. Daarna bouwen we op naar gevorderde technieken zoals security headers en CDN-bescherming. Elke tip bevat concrete WordPress plugins en configuraties die je direct kunt toepassen.

Tip 1: gebruik sterke, unieke wachtwoorden

Zwakke wachtwoorden veroorzaken 81% van alle hacking-gerelateerde datalekken volgens het Verizon Data Breach Investigations Report 2023. Gebruik je wachtwoorden zoals "admin123", "password" of je bedrijfsnaam? Een hacker kraakt deze wachtwoorden binnen enkele seconden met een brute force attack.

Wat maakt een wachtwoord sterk?

Een sterk wachtwoord bevat minimaal de volgende elementen:

• Minstens 12 karakters en bij voorkeur zelfs 16 of meer
• Zowel hoofdletters als kleine letters
• Cijfers en speciale tekens zoals @, #, $, en %
• Geen woordenboekwoorden en geen herkenbare patronen
• Uniek voor elk account want hergebruik is levensgevaarlijk

Password managers: de praktische oplossing

Niemand kan 50 verschillende complexe wachtwoorden onthouden. De oplossing is een password manager die dit werk voor je doet:

• 1Password is een premium optie met uitstekende gebruiksvriendelijkheid en synchronisatie tussen al je apparaten
• Bitwarden is gratis en open-source met alle essentiële functies die je nodig hebt
• LastPass werkt met een freemium model en is geschikt als je net begint

Een password manager genereert automatisch sterke wachtwoorden voor je. Hij slaat deze veilig versleuteld op en vult ze automatisch in op websites. Je hoeft alleen nog het master password te onthouden om toegang te krijgen tot je kluis.

Deze accounts beveiligen met sterke wachtwoorden

1. WordPress admin bevat je inloggegevens voor het /wp-admin dashboard
2. Database wachtwoord staat in het wp-config.php bestand en moet je wijzigen bij de eerste installatie
3. Hosting control panel geeft toegang tot DirectAdminKeurigOnline zegtDirectAdminDirectAdmin is een webhosting control panel ontwikkeld door JBMC Software als kostenefficiënt en gebruiksvriendelijk alternatief voor cPanel., cPanel of Plesk
4. FTPKeurigOnline zegtFTPFTP (File Transfer Protocol) is een protocol voor het overdragen van bestanden tussen computers via een netwerk./SFTP gebruik je voor bestandsbeheer op de server
5. Domain registrar is het account waar je domeinnaamKeurigOnline zegtDomeinnaamEen domeinnaam is een uniek webadres gekoppeld aan je website en e-mail, zoals voorbeeld.nl, bedrijf.com of startup.ai. is geregistreerd
6. Email accounts vooral de admin@ en info@ adressen moeten goed beveiligd zijn

Pro tip: Gebruik de Have I Been Pwned website om te controleren of jouw emailadres ooit in een datalek heeft gezeten. Zit je erin? Wijzig dan onmiddellijk alle wachtwoorden voor accounts die gekoppeld zijn aan dat emailadres.

Tip 2: installeer en configureer een SSL-certificaat

Draai je in 2026 nog een website zonder SSL oftewel HTTPS? Google Chrome toont dan een grote rode waarschuwing met de tekst "Niet veilig". Je verliest direct het vertrouwen van bezoekers en ook je SEO-rankings dalen. Google gebruikt HTTPS namelijk al sinds 2014 als een rankingfactor.

Wat doet een SSL-certificaat?

SSL staat voor Secure Sockets Layer maar heet tegenwoordig eigenlijk TLSKeurigOnline zegtTLSTLS is het standaardprotocol voor versleutelde, betrouwbare communicatie tussen client en server. oftewel Transport Layer Security. Dit certificaat versleutelt alle data tussen de browser van je bezoeker en jouw server. Een hacker in een openbaar wifi-netwerk kan zonder SSL makkelijk wachtwoorden, creditcardgegevens en persoonlijke informatie onderscheppen. Met SSL is die data versleuteld en volledig onleesbaar voor aanvallers.

Certificaat types: welke heb je nodig?

Je kunt kiezen uit drie verschillende types SSL-certificaten:

• DV oftewel Domain Validation is gratis beschikbaar via Let's Encrypt en valideert alleen domeineigendom. Dit certificaat is voldoende voor 95% van alle websites.
• OV oftewel Organization Validation is een betaald certificaat dat ook organisatiegegevens valideert. Het kost tussen de €50 en €200 per jaar.
• EV oftewel Extended Validation is een duur certificaat dat vroeger een groene balk in de browser toonde. Deze functie werkt sinds 2019 niet meer. Het kost tussen de €200 en €1000 per jaar.

Tip: Gebruik het gratis Let's Encrypt certificaat tenzij je specifieke compliance eisen moet voldoen. Een gratis DV-certificaat biedt exact dezelfde 256-bit encryptieKeurigOnline zegtEncryptieEncryptie is het versleutelen van gegevens zodat alleen bevoegden ze kunnen lezen. als een betaald certificaat van €1000. Het enige verschil zit in het validatieniveau.

SSL installeren in 3 stappen

Stap 1: Controleer of je hosting provider gratis SSL aanbiedt

De meeste moderne webhosts, waaronder wij, bieden gratis Let's Encrypt certificaten aan. Deze certificaten worden automatisch verlengd en bieden dezelfde 256-bit encryptie als betaalde certificaten. Onze webhosting pakketten en WordPress hosting bevatten standaard gratis SSL. Ben je al klant bij ons? Bekijk dan onze stap-voor-stap handleiding voor het aanvragen van een gratis SSL-certificaat.

Stap 2: Activeer SSL via je control panel

In DirectAdmin, cPanel en Plesk werkt de activatie meestal met één enkele klik. Zoek in het menu naar opties zoals "SSL/TLS" of "Let's Encrypt".

Stap 3: Forceer HTTPS voor alle pagina's

Voeg de volgende code toe aan het .htaccess bestand in je WordPress root directory:

# Force HTTPS redirect
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Je kunt ook de Really Simple SSL plugin gebruiken voor een geautomatiseerde oplossing. Test eerst de gratis versie want de Pro versie blokkeert soms XMLKeurigOnline zegtXMLXML is een opmaaktaal die gebruikt wordt om gestructureerde data uit te wisselen tussen systemen.-RPC zonder waarschuwing vooraf.

Verificatie: test je SSL

• SSL Labs Server Test geeft een rating van A+ tot F en toont welke ciphers en protocols je server ondersteunt
• Why No Padlock controleert op mixed content zoals HTTPKeurigOnline zegtHTTPHTTP (HyperText Transfer Protocol) is het protocol dat de communicatie tussen webclients en servers mogelijk maakt. resources die op HTTPS pagina's worden geladen

Streef naar een A+ rating. Scoor je lager? Update dan je server instellingen of schakel over naar een modernere hosting provider.

Tip 3: activeer tweestapsverificatie (2FA)

Stel dat een hacker je WordPress wachtwoord heeft gestolen. Met tweestapsverificatie oftewel 2FA komt hij er nog steeds niet in. Hij heeft namelijk ook toegang nodig tot je telefoon of authenticator app. Microsoft Security research uit 2020 toont aan dat MFA 99.9% van alle account compromise attacks blokkeert.

Wat is 2FA en hoe werkt het?

Bij 2FA log je in met twee verschillende factoren:

1. Iets wat je weet zoals je wachtwoord
2. Iets wat je hebt zoals je telefoon met een tijdelijke code

De code verandert elke 30 seconden automatisch. Zelfs als iemand je wachtwoord steelt is die code nutteloos. De aanvaller heeft namelijk ook fysieke toegang nodig tot jouw apparaat.

De beste 2FA authenticator apps

• Google Authenticator - Deze app is simpel en gratis. Hij werkt ook offline zonder internetverbinding.
• Authy - Authy synchroniseert tussen meerdere apparaten. Je kunt een cloud backupKeurigOnline zegtBackupEen backup is een reservekopie van digitale gegevens die je kunt terugzetten bij dataverlies of storingen. maken en je account herstellen.
• Microsoft Authenticator - Deze app werkt goed met Microsoft diensten. Je kunt zelfs passwordless inloggen.

2FA instellen voor WordPress

Je hebt een goede plugin nodig om 2FA in WordPress te activeren. Dit zijn de beste opties:

1. WP 2FA - Dit is de officiële WordPress plugin. Hij is gratis en ondersteunt alle grote authenticator apps.
2. iThemes Security - Dit is een complete security suite. De 2FA functionaliteit zit er standaard in.
3. Wordfence 2FA - Dit is onderdeel van Wordfence Security . Deze werkt via de eigen Wordfence app.

Zo installeer je WP 2FA:

1. Ga naar Plugins → Add New → Zoek "WP 2FA"
2. Installeer en activeer de plugin
3. Ga naar Settings → WP 2FA
4. Start de Setup Wizard en kies je authenticator app
5. Scan de QR code met je authenticator app
6. Voer de verificatiecode in om te testen
7. Sla je backup codes op door ze te printen of veilig digitaal op te slaan

Waar gebruik je 2FA voor?

Activeer 2FA niet alleen voor WordPress. Gebruik het voor al deze accounts:

• WordPress admin accounts met administrator rol
• Hosting control panel zoals DirectAdmin of cPanel
• Je domain registrar account waar je domeinnamen beheert
• Email accounts zoals admin@ en info@
• GitHubKeurigOnline zegtGithubGitHub is een cloudplatform voor versiebeheer en samenwerking aan softwareprojecten met Git. of GitLab als je version control gebruikt

Tip 4: maak regelmatig automatische backups

Backups zijn je laatste redmiddel als alles misgaat. Is je site gehackt? Zet een backup terug. Heeft een verkeerde update je site gesloopt? Zet een backup terug. Verdwijnt je hosting provider ineens? Dan heb je tenminste je eigen kopie.

85% van alle organisaties ervaart minstens één datavernietiging per jaar. Dat blijkt uit Veeam's Data Protection Report 2023. Jouw site kan morgen al getroffen worden.

Waarom automatische backups essentieel zijn

Handmatige backups vergeet je gewoon. Je bent te druk of denkt "dat doe ik volgende week wel". Automatische backups draaien volgens een vast schema zonder dat je eraan hoeft te denken. De beste backup is degene die automatisch gebeurt voordat je hem nodig hebt.

Wat back-up je precies?

Een complete WordPress backup bestaat uit vier onderdelen:

1. Database - Hierin staan al je content, instellingen en gebruikers. Dit is een MySQLKeurigOnline zegtMySQLMySQL is een open-source relationeel databasebeheersysteem (RDBMS) dat gegevens opslaat in tabellen. of MariaDB export.
2. Bestanden - De hele /wp-content/ map met themes, plugins en geüploade bestanden.
3. wp-config.php - Dit bestand bevat je database credentials en security keys.
4. .htaccess - Dit bestand regelt je server configuratie en URL rewrites.

Backup frequentie: hoe vaak?

De juiste backup frequentie hangt af van hoe vaak je site verandert:

• Dagelijks - Voor actieve sites zoals webshops en blogs met regelmatige updates
• Wekelijks - Voor statische sites die zelden veranderen
• Voor elke grote update - Altijd voordat je WordPress, plugins of je theme update

Pro tip: Gebruik incrementele backups. Deze slaan alleen de wijzigingen op sinds de laatste backup. Zo bespaar je veel opslagruimte.

De beste WordPress backup plugins

UpdraftPlus (Aanbevolen)

Deze plugin heeft meer dan 3 miljoen actieve installaties. De gratis versie biedt automatische scheduling en cloud storage naar Google Drive, Dropbox of Amazon S3. De premium versie heeft migratie, multisite support en database encryptie. Je kunt backups terugzetten met één klik.

BackWPup

BackWPup is gratis en heeft flexibele scheduling opties. Je kunt backups exporteren naar FTP, Dropbox, S3 of Rackspace. De plugin ondersteunt ook database optimization.

Duplicator

Duplicator is vooral bedoeld voor site migration. Maar je kunt hem ook gebruiken voor backups. Hij maakt complete site packages met bestanden en database. Er zit een installer script bij voor gemakkelijke restore.

Off-site backups: why they matter

Bewaar nooit alleen backups op je server. Als je hosting provider verdwijnt ben je ook je backups kwijt. Sla backups altijd op een aparte locatie op:

• Cloud storage - Google Drive biedt 15GB gratis. Dropbox heeft 2GB gratis. Of gebruik Amazon S3.
• Externe harde schijf - Download je backups elke maand naar lokale storage.
• Tweede server - Sla backups op bij een andere hosting provider.

Backup testen: does it work?

Een backup die niet werkt is nutteloos. Test minstens één keer per kwartaal of je backup restore proces werkt:

1. Download een recent backup bestand
2. Zet een test environment op
3. Restore de backup naar die testomgeving
4. Controleer of alles werkt zoals het hoort

Faalt je restore tijdens een test? Dan is dat eigenlijk goed nieuws. Je ontdekt het probleem voordat je in paniek bent.

Tip: UpdraftPlus heeft een ingebouwde restore functie met progress bar. BackWPup vereist handmatige database import via phpMyAdmin.

Tip 5: houd software, plugins en themes up-to-date

Verouderde software is de beste vriend van hackers. Dat blijkt uit het Sucuri 2023 Hacked Website Report . 39% van gehackte websites was outdated toen de infectie plaatsvond. En 14% had minstens één kwetsbare plugin of theme.

Updates bevatten niet alleen nieuwe features. Ze bevatten vooral kritieke security patches die je site beschermen.

Waarom updates zo belangrijk zijn

Stel dat er een security vulnerability ontdekt wordt in een populaire plugin. De developer publiceert dan een patch. Hackers weten binnen enkele uren welke sites nog niet geüpdatet zijn. Ze scannen automatisch miljoenen sites om die specifieke vulnerability te vinden.

Update je tijdig? Dan is je site veilig. Update je niet? Dan wordt je site een doelwit.

Voorbeeld: De Elementor plugin had in 2023 een kritieke XSSKeurigOnline zegtXSSXSS is een veelvoorkomende aanval waarbij scripts worden geïnjecteerd in websites om gebruikersdata te stelen. vulnerability. Deze kreeg de code CVE-2023-32243. Binnen 48 uur na publicatie waren er meer dan 3 miljoen scan pogingen op niet-geüpdatete sites.

Wat moet je updaten?

Dit zijn de vijf belangrijkste componenten die je moet updaten:

1. WordPress core - Elke nieuwe versie bevat security patches
2. Plugins - Update alle plugins, ook de inactieve. Inactieve plugins kunnen namelijk ook exploits bevatten.
3. Themes - Update je actieve theme en de parent theme als je een child theme gebruikt
4. PHP versie - Dit doe je op server niveau via je hosting control panel
5. MySQL of MariaDB - Dit is je database software. Meestal doet je host dit automatisch.

Update methodologie: veilig updaten

❌ FOUT: Direct updaten zonder backupKeurigOnline zegtBackupEen backup is een reservekopie van digitale gegevens die je kunt terugzetten bij dataverlies of storingen.

Je update iets. Je site breekt. Je hebt geen backup. Panic.

✅ CORRECT: Backup-first methodologie

Volg altijd deze volgorde om veilig te updaten:

1. Maak eerst een complete backup zoals uitgelegd in Tip 4
2. Test op een staging environment als je die hebt
3. Check de changelog op breaking changes
4. Update één component tegelijk en niet alles tegelijk
5. Test je site na elke update op de frontend en backend
6. Rollback indien nodig door je backup terug te zetten

WordPress updates uitvoeren

Minor updates zoals 6.4.1 naar 6.4.2 zijn veilig. Deze bevatten meestal alleen security fixes.

Major updates zoals 6.4 naar 6.5 moet je eerst testen. Deze kunnen breaking changes bevatten.

Zo update je WordPress:

1. Ga naar Dashboard → Updates
2. Selecteer alle beschikbare updates
3. Klik op "Update Now"
4. Wacht tot de progress bar compleet is
5. Test of je site nog goed werkt

Updates via de command line met WP-CLIKeurigOnline zegtWP-CLIWP-CLI is de command line interface voor WordPress waarmee ontwikkelaars WordPress beheren via de terminal.:

# Update WordPress core
wp core update

# Update all plugins
wp plugin update --all

# Update all themes
wp theme update --all

Auto-updates: ja of nee?

WordPress ondersteunt automatische updates sinds versie 3.7. Maar is dat veilig?

✅ Dit kun je veilig automatisch updaten:

• WordPress core minor updates - Security patches hebben minimaal risico
• Plugins van betrouwbare developers - Zoals Automattic en Yoast

❌ Dit moet je niet automatisch updaten:

• Major WordPress updates - Test deze eerst op een staging environment
• Alle plugins automatisch - Dit kan je site breken zonder waarschuwing
• Themes - Wijzigingen in themes kunnen je layout breken

Zo zet je auto-updates aan per plugin:

WordPress 5.5 en nieuwer toont een "Enable auto-updates" optie bij elke plugin. Klik hierop om auto-updates voor individuele plugins te activeren.

Auto-updates aanzetten via code voor alle plugins:

// wp-config.php - Enable all plugin auto-updates
define('WP_AUTO_UPDATE_CORE', 'minor'); // Only minor core updates
add_filter('auto_update_plugin', '__return_true'); // All plugins

Verwijder ongebruikte software

Inactieve plugins en themes zijn nog steeds kwetsbaar. Een hacker kan een exploit in een inactieve plugin gebruiken om toegang te krijgen tot je site.

Zo ruim je op:

• Deactiveer alle plugins die je niet gebruikt
• Verwijder de gedeactiveerde plugins volledig
• Delete oude themes die je niet meer nodig hebt
• Check de database op overbodige data met de WP-Optimize plugin

Default WordPress themes: Je kunt Twenty Twenty-One, Two, Three en Four verwijderen als je ze niet gebruikt. Maar houd minstens één default theme als emergency fallback.

PHP versie updaten

PHP 7.4 en ouder krijgen geen security updates meer. Deze versies zijn end-of-life. Draai je PHP versie lager dan 8.0? Dan ben je kwetsbaar.

Zo check je je PHP versie:

Ga naar Dashboard → Site Health → Info → Server in WordPress.

Zo update je PHP:

Ga naar je hosting control panel zoals DirectAdmin of cPanel. Klik op PHP Version Selector. Selecteer PHP 8.2 of 8.3.

Let op: Test eerst of je plugins compatibel zijn met de nieuwe PHP versie. Check PHP Supported Versions voor actuele informatie over ondersteunde versies.

Plugin compatibility controleren: De PHP Compatibility Checker plugin scant je site op incompatibele code.

Tip 6: installeer beveiligingsplugins en firewalls

Een WordPress security plugin is als een alarmsysteem voor je huis. Het biedt preventie, detectie en respons in één pakket. De beste plugins hebben een firewallKeurigOnline zegtFirewallEen firewall is een beveiligingssysteem dat netwerkverkeer filtert en ongeautoriseerde toegang tot netwerken en servers blokkeert., malware scanner, login protection en real-time monitoring.

Wat doet een security plugin?

Firewall oftewel Web Application Firewall:

• Filtert kwaadaardig verkeer voordat het je site bereikt
• Blokkeert SQL injection attacks en XSS aanvallen
• Detecteert bekende aanvallers en blokkeert hun IP-adres

Malware scanning:

• Scant alle bestanden op verdachte code patronen
• Vergelijkt je bestanden met de officiële WordPress files
• Stuurt alerts bij onverwachte wijzigingen

Login protection:

• Beperkt het aantal login pogingen tegen brute force attacks
• Blokkeert IP-adressen na te veel mislukte pogingen
• Integreert CAPTCHAKeurigOnline zegtCaptchaCaptcha is een beveiligingstest die onderscheid maakt tussen mensen en geautomatiseerde programma's (bots). om bots te stoppen

File integrity monitoring:

• Houdt checksums bij van alle core en plugin files
• Detecteert ongeautoriseerde wijzigingen aan bestanden
• Stuurt alerts bij injectie van kwaadaardige code

Top WordPress security plugins vergeleken

Aanbeveling: Start met Wordfence (gratis) voor de meest complete bescherming, of iThemes Security als je een eenvoudigere interface prefereert.

1. Wordfence Security - 5 miljoen actieve installaties

Wordfence is de meest populaire WordPress security plugin.

Gratis features:

• Endpoint firewall die draait na WordPress init
• Malware scanner met scheduled scans
• Login security met 2FAKeurigOnline zegt2FA2FA (tweefactorauthenticatie) is een beveiligingsmethode die naast je wachtwoord een tweede verificatie vereist. en brute force protection
• Live traffic monitoring om te zien wie je site bezoekt
• Security notifications via email

Premium features voor $119 per jaar:

• Real-time firewall updates in plaats van 30 dagen vertraging
• Real-time IP blacklistKeurigOnline zegtBlacklistEen blacklist is een lijst met geblokkeerde IP-adressen, domeinnamen of e-mailadressen die als spam of onveilig worden beschouwd.
• Country blocking oftewel geo-blocking
• Automatische malware scans in plaats van handmatig
• Priority support

Voordelen: Uitgebreide features, goede documentatie en regelmatige updates.

Nadelen: Resource-intensief en kan je site vertragen op shared hostingKeurigOnline zegtShared hostingShared hosting is een hostingvorm waarbij meerdere websites dezelfde serverresources delen.. De interface is complex voor beginners.

2. iThemes Security - 1 miljoen actieve installaties

iThemes Security is een beginner-vriendelijke security suite.

Gratis features:

• Twee-factor authenticatie oftewel 2FA
• Brute force protection
• File change detection
• Sterke wachtwoorden verplicht stellen
• Database backups
• Security dashboard met duidelijke aanbevelingen

Pro features voor $99 per jaar:

• Scheduled malware scanning
• Version management om terug te rollen naar eerdere versies
• Google reCAPTCHA integration
• User action logging voor een audit trail
• Dashboard geolocation om te zien waar logins vandaan komen

Voordelen: User-friendly setup wizard, goede performance en duidelijke security score.

Nadelen: Minder features dan Wordfence. Malware scanning zit alleen in de Pro versie.

3. Sucuri Security - 800.000 actieve installaties

Sucuri Security biedt enterprise-level security.

Gratis features:

• Security activity auditing
• File integrity monitoring
• Remote malware scanning vanaf Sucuri servers
• Blacklist monitoring om te checken of je site op spam lists staat
• Post-hack security actions

Premium features voor $199 tot $499 per jaar:

• Cloud-based WAF op DNSKeurigOnline zegtDNSHet Domain Name System (DNS) vertaalt domeinnamen naar IP-adressen, zodat websites makkelijk bereikbaar zijn.-niveau
• CDN met DDoS protection
• Malware removal service door het Sucuri team
• UptimeKeurigOnline zegtUptimeUptime is de tijd dat een server of website operationeel en bereikbaar is, uitgedrukt als percentage. monitoring
• SSL certificate inbegrepen

Voordelen: Cloud WAF is zeer effectief. De professionele malware cleanup service werkt goed.

Nadelen: Duur voor kleine sites. De free plugin is beperkt tot vooral auditing zonder actieve protectie.

4. All In One WP Security - 1 miljoen actieve installaties

All In One WP Security is een volledig gratis security plugin.

Features:

• User account security om sterke wachtwoorden te forceren
• Login lockout voor brute force protection
• Database security om je table prefix te wijzigen
• File system security om file editing uit te schakelen
• Basis firewall met htaccess rules
• Copy protection om right-click uit te schakelen

Voordelen: Volledig gratis zonder upsells. Lightweight en uitgebreide features.

Nadelen: Geen malware scanning. Basale firewall en minder frequente updates.

Gratis vs Premium: wat heb je echt nodig?

Gratis is voldoende voor deze sites:

• Persoonlijke blogs
• Portfolio sites
• Kleine business websites zonder gevoelige data
• Sites waar je zelf regelmatig controleert

Overweeg Premium bij deze situaties:

• E-commerce sites met klantdata en betalingen
• Ledensites met privacy-gevoelige informatie
• Sites met veel traffic en DDoS risico
• Sites waar je geen tijd hebt voor handmatige monitoring

WAF: cloud-based vs plugin-based

Plugin-based WAF zoals Wordfence en All In One:

• Draait op je eigen server op PHP-level
• Checkt requests pas nadat ze je server raken
• Kan server resources belasten
• Gratis of goedkoop

Cloud-based WAF zoals Sucuri en Cloudflare:

• Draait op DNS-level voor je server
• Filtert traffic voordat het je server bereikt
• Beschermt tegen DDoS attacks
• Betaald maar Cloudflare free tier heeft basic protection

Configuratie tips

Volg deze stappen na installatie van je security plugin:

1. Run de setup wizard - Meeste plugins hebben guided setup
2. Enable de firewallKeurigOnline zegtFirewallEen firewall is een beveiligingssysteem dat netwerkverkeer filtert en ongeautoriseerde toegang tot netwerken en servers blokkeert. - Start in learning mode voor 1 tot 2 weken, daarna live mode
3. Schedule scans - Plan wekelijks een volledige malware scan
4. Set up email notifications - Stuur kritieke alerts naar je admin email
5. Configure login lockout - Stel 5 tot 10 pogingen in met 20 minuten lockout
6. Enable 2FA als de plugin dit ondersteunt
7. Review firewall logs - Check wekelijks op geblokkeerde attacks

Testing: Test na configuratie of je site nog bereikbaar is. Check de frontend, backend en APIKeurigOnline zegtAPIEen API (Application Programming Interface) is een set regels en protocollen waarmee softwareapplicaties met elkaar kunnen communiceren en gegevens uitwisselen. endpoints. Test ook of legitiem verkeer niet geblokkeerd wordt.

Tip 7: beveilig inlogformulieren met CAPTCHA en login limiters

Brute force attacks zijn simpel. Een bot probeert duizenden username en password combinaties. Hij blijft proberen tot hij erin komt. Zonder bescherming raakt hij er uiteindelijk in.

Met CAPTCHA en login limiters stop je vrijwel alle automated attacks. OWASP noemt deze aanpak "particularly effective".

Waarom login protection cruciaal is

• XML-RPC attacks - Het WordPress XML-RPC endpoint kan gebruikt worden voor brute force zonder rate limiting
• Distributed attacks - Aanvallers gebruiken duizenden IP-adressen. Daardoor is IP-blocking zinloos.
• Credential stuffing - Hackers proberen gelekte username en password combinaties van andere sites

Wordfence's Firewall Report 2023 toont indrukwekkende cijfers. Hun firewall stopte meer dan 90 miljard brute force attacks in 2023. Dat zijn ongeveer 2800 attacks per seconde gemiddeld.

CAPTCHA: onderscheid mens van bot

CAPTCHA is een test om te checken of de bezoeker mens of bot is. De afkorting staat voor Completely Automated Public Turing test to tell Computers and Humans Apart.

Google reCAPTCHA v3 - Aanbevolen

Google reCAPTCHA v3 is een invisible CAPTCHA met risk-based scoring.

Voordelen:

• Geen user interaction want volledig onzichtbaar
• Scoort gebruikers van 0.0 voor bots tot 1.0 voor mensen
• Je stelt een drempel in zoals alles onder 0.5 blokkeren
• Gratis voor 1 miljoen requests per maand

Nadelen:

• Privacy concerns door Google tracking
• Sommige users en bots blokkeren Google scripts
• Performance impact door extra JavaScriptKeurigOnline zegtJavaScriptJavaScript is een programmeertaal die wordt gebruikt om interactieve en dynamische websites te maken.

Setup:

1. Registreer je site op Google reCAPTCHA Admin
2. Kies voor reCAPTCHA v3
3. Voeg je domain toe aan de lijst
4. Ontvang je Site Key en Secret Key
5. Installeer een plugin om de keys te gebruiken

hCaptcha - Privacy-focused alternatief

hCaptcha is GDPR-compliant zonder Google tracking.

Voordelen:

• Privacy-first en GDPR en CCPA compliant
• Sites verdienen geld met hCaptcha per oplossing
• Zelfde effectiviteit als reCAPTCHA

Nadelen:

• User interaction is vereist want niet invisible
• Minder populair met minder plugin support

Cloudflare Turnstile - Nieuwste optie

Cloudflare Turnstile heeft geen tracking en betere UX dan reCAPTCHA v2.

Voordelen:

• Privacy-first zonder personal data tracking
• Challenge-free voor de meeste users want invisible
• Gratis met onbeperkt gebruik
• Betere UX dan traditional CAPTCHA

Nadelen:

• Nieuw sinds 2022 en minder battle-tested
• Vereist een Cloudflare account

WordPress CAPTCHA plugins

Advanced noCaptcha & invisible Captcha

• Ondersteunt reCAPTCHA v2 en v3
• Werkt op login, registration en comment forms
• Heeft WooCommerceKeurigOnline zegtWooCommerceWooCommerce is een gratis e-commerce plugin voor WordPress waarmee je een webshop kunt bouwen en beheren. integration

Loginizer

• Combineert brute force protection met reCAPTCHA
• Dit is een handige 2-in-1 oplossing

Wordfence en iThemes Security

• Hebben ingebouwde reCAPTCHA support
• Heb je al een security plugin? Gebruik dan die voor CAPTCHAKeurigOnline zegtCaptchaCaptcha is een beveiligingstest die onderscheid maakt tussen mensen en geautomatiseerde programma's (bots)..

Login attempt limiters

CAPTCHA stopt bots. Maar limieten voorkomen ook menselijke brute force pogingen.

Limit Login Attempts Reloaded heeft meer dan 200.000 actieve installaties.

Features:

• Limiteer login pogingen tot maximaal 5 tot 10
• Stel lockout duration in van 15 tot 60 minuten
• Maak een IP whitelist en blacklist
• Ontvang email notifications bij lockouts
• Bekijk logs van failed attempts

Configuratie:

1. Installeer de plugin
2. Ga naar Settings → Limit Login Attempts
3. Stel Max Login Attempts in op 5
4. Stel Lockout Duration in op 20 minutes
5. Stel Lockout Duration after X lockouts in op 24 hours
6. Enable Email Notification

Brute force bescherming: complete aanpak

Combineer meerdere lagen voor maximale beveiliging:

Laag 1: Login limiters - Je eerste verdedigingslinie

• Gebruik Limit Login Attempts Reloaded
• Configureer 5 pogingen met 20 minuten lockout

Laag 2: CAPTCHA - Stop geautomatiseerde bots

• Zet reCAPTCHA v3 op je login form
• Dit is invisible voor echte users maar blokkeert bots

Laag 3: IP blocking - Blokkeer repeat offenders permanent

• Gebruik je security plugin zoals Wordfence of iThemes
• Laat automatisch blokkeren na X failed attempts

Laag 4: 2FA - Zelfs met correct wachtwoord geen toegang

• Gebruik WP 2FA plugin zoals uitgelegd in Tip 3
• Dit vereist fysieke toegang tot de telefoon van de gebruiker

Laag 5: Rename login URL (optioneel)

• Gebruik de WPS Hide Login plugin
• Deze plugin wijzigt /wp-admin naar een custom URL
• Bijvoorbeeld /mijn-admin-login in plaats van de standaard URL
• Dit is security door verbergen, niet volledig waterdicht maar wel nuttig

Waarschuwing: Sla je nieuwe login URL veilig op. Als je hem vergeet moet je via FTP de plugin verwijderen. Alleen dan krijg je weer toegang tot je WordPress dashboard.

XML-RPC uitschakelen (extra bescherming)

XML-RPC is een oude API endpoint. Je vindt hem op /xmlrpc.phpKeurigOnline zegtPHPPHP (Hypertext Preprocessor) is een populaire open-source scripttaal die speciaal is ontworpen voor webontwikkeling en server-side programmering. in elke WordPress site. Hij is bedoeld voor remote publishing. Moderne WordPress sites gebruiken hem niet meer.

Maar hackers gebruiken XML-RPC nog steeds. Het blijft een zwakke plek waar ze aanvallen op kunnen doen.

XML-RPC blokkeren via .htaccess:

# Block access to xmlrpc.php
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Of blokkeer via een plugin: Wordfence en iThemes Security hebben beide ingebouwde XML-RPC blocking. Die schakel je gewoon in via de plugin instellingen.

Let op: Gebruik je Jetpack of de WordPress Mobile App? Dan heb je XMLKeurigOnline zegtXMLXML is een opmaaktaal die gebruikt wordt om gestructureerde data uit te wisselen tussen systemen.-RPC wel nodig. Ook pingbacks werken via XML-RPC. Test dus eerst goed voordat je het blokkeert.

REST API beperken: De moderne WordPress APIKeurigOnline zegtAPIEen API (Application Programming Interface) is een set regels en protocollen waarmee softwareapplicaties met elkaar kunnen communiceren en gegevens uitwisselen. is de REST API. Die vind je op /wp-jsonKeurigOnline zegtJSONJSON is een lichtgewicht dataformaat voor het uitwisselen van gegevens tussen systemen. in je site. Gebruik je die niet? Beperk dan de toegang tot alleen ingelogde gebruikers. Dat kan met een security plugin.

WordPress versie verbergen

Standaard toont WordPress je versienummer in de HTMLKeurigOnline zegtHTMLHTML is de programmeertaal voor het maken van webpagina’s. broncode van je site. Hackers gebruiken dit om kwetsbare sites te vinden. Ze scannen op specifieke versies met bekende beveiligingslekken.

Waar is je versie zichtbaar?

• In de <head> sectie als <meta name="generator" content="WordPress 6.x">
• In RSS feeds
• In CSSKeurigOnline zegtCSSCSS (Cascading Style Sheets) is een opmaaktaal voor het vormgeven en stylen van webpagina's en documenten. en JavaScript bestanden als query string (?ver=6.x)
• In het bestand /readme.html in je WordPressKeurigOnline zegtWordPressWordPress is een open-source contentmanagementsysteem (CMS) geschreven in PHP, waarmee je eenvoudig websites en blogs kunt bouwen en beheren. root

WordPress versie verbergen via functions.php:

// Verwijder WordPress versie uit header
remove_action('wp_head', 'wp_generator');

// Verwijder versie uit RSS feeds
add_filter('the_generator', '__return_empty_string');

// Verwijder versie query strings van CSS/JS
function remove_version_query_strings($src) {
    if (strpos($src, 'ver=')) {
        $src = remove_query_arg('ver', $src);
    }
    return $src;
}
add_filter('style_loader_src', 'remove_version_query_strings', 9999);
add_filter('script_loader_src', 'remove_version_query_strings', 9999);

Verwijder readme.html:

• Delete het bestand /readme.html via FTP of je file manager
• Let op: WordPress maakt dit bestand opnieuw aan bij updates. Verwijder het dus na elke core update.

Of gebruik een plugin: Security plugins zoals Starter Templates en Wordfence hebben opties om de WordPress versie automatisch te verbergen.

Tip 8: beheer gebruikersrechten en rollen zorgvuldig

Het principe heet least privilege. Het betekent: geef gebruikers alleen de rechten die ze écht nodig hebben. Niet meer. Niet minder.

Waarom is dat belangrijk? Stel dat een account gehackt wordt. Met minimale rechten kan de hacker weinig schade doen. Met admin rechten kan hij je hele site verwijderen.

WordPress gebruikersrollen begrijpen

WordPress heeft 5 standaard rollen. Elke rol heeft meer rechten dan de vorige:

Subscriber - Minimale rechten

• Kan alleen zijn eigen profiel bekijken en aanpassen
• Heeft geen toegang tot dashboard content
• Gebruik voor: Nieuwsbriefleden en forum leden

Contributor - Kan content schrijven

• Kan posts schrijven en eigen posts beheren
• Kan posts niet publiceren, een Editor moet dat goedkeuren
• Kan geen media uploaden
• Gebruik voor: Gastbloggers en externe schrijvers

Author - Kan zelf publiceren

• Kan eigen posts schrijven, bewerken en direct publiceren
• Kan media uploaden, maar alleen voor eigen posts
• Kan geen posts van andere gebruikers aanpassen
• Gebruik voor: Vaste bloggers en content creators

Editor - Content manager

• Kan alle posts en pages beheren van alle gebruikers
• Kan categorieën en tags beheren
• Kan geen plugins, themes of settings aanpassen
• Gebruik voor: Content managers en hoofdredacteuren

Administrator - Volledige controle

• Kan alles: plugins installeren, themes wijzigen, users aanmaken
• Kan je complete site verwijderen
• Gebruik voor: Site eigenaar en technisch beheerder

Super Admin (alleen bij multisite) - Beheert het hele netwerk van websites.

Best practices voor gebruikersrechten

1. Minimaliseer Administrators

• Houd het bij maximaal 2-3 admin accounts voor kleine sites
• Gebruik de Editor rol voor mensen die alleen content beheren
• Verwijder oude en ongebruikte admin accounts regelmatig

2. Hernoem admin username

• Gebruik nooit "admin" als username, dat is te voorspelbaar
• Kies een unieke naam, liever niet je eigen echte naam
• Wijzig de admin username via de database of met een plugin zoals Username Changer

3. Audit bestaande users

• Check elke 3 tot 6 maanden alle user accounts
• Verwijder accounts van ex-medewerkers en freelancers
• Let op verdachte accounts zoals onbekende admins
• Gebruik een plugin zoals User Activity Log om activiteit te monitoren

4. Schakel file editing uit in WordPress

• Dit voorkomt dat gehackte admin accounts plugin of theme code aanpassen
• Voeg deze regel toe aan je wp-config.php bestand:

define('DISALLOW_FILE_EDIT', true);

• Let op: Je kunt dan niet meer via het dashboard themes of plugins aanpassen. Dat moet dan via FTP.

5. Gastauteurs? Gebruik de Contributor rol

• Geef externe schrijvers nooit een Admin of Editor rol
• Met Contributor moeten ze eerst een preview maken voordat publiceren mogelijk is
• Schakel media upload uit voor Contributors om malware uploads te voorkomen

Tip: Een plugin zoals Members laat je custom rollen maken. Je kunt dan specifieke rechten per rol instellen.

Tip 9: bescherm bestanden en mappen met juiste permissies

File permissions bepalen wie bestanden kan lezen, schrijven en uitvoeren. Verkeerde permissies zijn een enorm beveiligingslek. Ze geven hackers direct toegang tot gevoelige bestanden.

Unix file permissions uitgelegd

Linux servers werken met numerieke chmodKeurigOnline zegtCHMODCHMOD is een Unix-commando dat bestandspermissies wijzigt, zoals lees-, schrijf- en uitvoerrechten voor gebruikers, groepen en anderen. codes. Elk cijfer heeft een betekenis:

• 7 = lezen + schrijven + uitvoeren (volledige controle)
• 6 = lezen + schrijven (geen execute rechten)
• 5 = lezen + uitvoeren (geen write rechten)
• 4 = alleen lezen (geen andere rechten)

Je ziet altijd drie cijfers achter elkaar. Die staan voor owner-group-public. Bijvoorbeeld 644 betekent: owner kan schrijven, de rest kan alleen lezen.

WordPress aanbevolen file permissions

Directories: 755

• Owner krijgt volledige controle (7)
• Group en Public kunnen alleen lezen en navigeren (5)
• Geldt voor alle mappen zoals /wp-content/ en /wp-includes/

Files: 644

• Owner kan lezen en schrijven (6)
• Group en Public kunnen alleen lezen (4)
• Dit geldt voor PHP bestanden, HTML, CSSKeurigOnline zegtCSSCSS (Cascading Style Sheets) is een opmaaktaal voor het vormgeven en stylen van webpagina's en documenten. en JavaScriptKeurigOnline zegtJavaScriptJavaScript is een programmeertaal die wordt gebruikt om interactieve en dynamische websites te maken.

Uploads directory: 755 voor mappen, 644 voor bestanden

• De map /wp-content/uploads/ moet schrijfbaar zijn voor WordPress
• Geüploade bestanden krijgen altijd 644, zodat ze niet uitvoerbaar zijn

File permissions instellen via SFTP of SSH

Via SFTP (FileZilla of Cyberduck):

1. Gebruik protocol "SFTP - SSH File Transfer Protocol" in je FTP-client
2. Klik met je rechtermuisknop op een bestand of map
3. Kies File permissions of Attributes uit het menu
4. Vink de juiste permissions aan voor Owner, Group en Public
5. Voor directories: vink "Recurse into subdirectories" aan om alle submappen mee te nemen

Via SSH (command line):

# Alle directories naar 755
find /pad/naar/wordpress/ -type d -exec chmod 755 {} \;

# Alle files naar 644
find /pad/naar/wordpress/ -type f -exec chmod 644 {} \;

# wp-config.php naar 600
chmod 600 /pad/naar/wordpress/wp-config.php

Let op: Heb je geen SSH toegang? Vraag dan je hosting provider om het correcte pad naar je WordPress installatie.

.htaccess security hardening

Je kunt kritieke bestanden extra beschermen via .htaccessKeurigOnline zegthtaccessEen .htaccess bestand is een configuratiebestand voor Apache webservers waarmee je per directory instellingen kunt wijzigen zonder toegang tot de hoofdconfiguratie.. Dit werkt alleen op ApacheKeurigOnline zegtApacheApache HTTP Server is een open source webserver ontwikkeld door de Apache Software Foundation. servers:

# Bescherm wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# Disable directory browsing
Options -Indexes

# Bescherm .htaccess zelf
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

# Bescherm wp-includes
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

# Disable PHP execution in uploads
<Directory "/pad/naar/wp-content/uploads">
    <Files "*.php">
        Order Deny,Allow
        Deny from All
    </Files>
</Directory>

Nuttige bronnen:

• WordPress File Permissions Guide
• Apache .htaccess Documentation
• .htaccess optimalisatie: 20+ code snippets (onze uitgebreide gids)

Let op:

Tip 10: bescherm je database

Je WordPress database bevat alles van je website. Alle posts, users, wachtwoorden, emails en configuratie zitten erin. Een gehackte database betekent dat je hele site gecompromitteerd is.

Gebruik een sterk database wachtwoord

Let op: je database wachtwoord is niet hetzelfde als je WordPress admin wachtwoord. Het database wachtwoord staat in het bestand wp-config.php:

define('DB_NAME', 'database_naam');
define('DB_USER', 'database_user');
define('DB_PASSWORD', 'zwak_wachtwoord_hier'); // ⚠️ WIJZIG DIT
define('DB_HOST', 'localhost');

Zo wijzig je het databaseKeurigOnline zegtDatabaseEen database is een georganiseerde verzameling gegevens die elektronisch wordt opgeslagen en beheerd. wachtwoord:

1. Log in op je hosting control panel zoals cPanel, Plesk of DirectAdminKeurigOnline zegtDirectAdminDirectAdmin is een webhosting control panel ontwikkeld door JBMC Software als kostenefficiënt en gebruiksvriendelijk alternatief voor cPanel.
2. Ga naar het menu MySQL Databases of phpMyAdmin
3. Wijzig het database user wachtwoord en genereer een random wachtwoord van minimaal 24 tekens
4. Update de regel DB_PASSWORD in je wp-config.php bestand via FTP of SFTP
5. Test je site daarna direct, een verkeerd wachtwoord geeft de foutmelding "Error establishing database connection"

Tip: Gebruik dezelfde password manager zoals 1Password of Bitwarden om je database credentials veilig op te slaan.

Wijzig je database prefix

WordPress gebruikt standaard het wp_ prefix voor alle database tabellen. Denk aan wp_posts en wp_users. Hackers kennen deze standaard namen. Ze gebruiken ze in SQL injection aanvallen.

Wijzig naar een custom prefix zoals ko8x_ in plaats van wp_:

Methode 1: Bij nieuwe installatie

• De WordPress installer vraagt tijdens installatie om een table prefix
• Gebruik een random prefix zoals x7f_ of ko8_

Methode 2: Bij een bestaande site (voor gevorderden)

1. Maak eerst een backup van je database, zie Tip 4 hoe dat moet
2. Gebruik een plugin zoals Change Table Prefix
3. Of doe het manueel via phpMyAdmin als je SQL kennis hebt

Waarschuwing: Het wijzigen van de prefix op een live site kan je site kapot maken. Verkeerd uitvoeren zorgt voor problemen. Test dit daarom eerst op een staging omgeving.

Schakel remote database toegang uit

Je database moet alleen toegankelijk zijn vanaf localhost. Dat is dezelfde server waarop je website draait.

Controleer de remote access instelling:

1. Ga in cPanel naar het menu Remote MySQLKeurigOnline zegtMySQLMySQL is een open-source relationeel databasebeheersysteem (RDBMS) dat gegevens opslaat in tabellen.
2. Zorg dat de lijst "Access Hosts" helemaal leeg is
3. Of alleen localhost bevat als toegestane host
4. Geen toegang? Vraag dan je hosting support "Is remote database access uitgeschakeld?"

Waarom is dit belangrijk? Met remote access kunnen hackers je database proberen te benaderen vanaf hun eigen server. Dan hoeven ze je webserver niet eens te hacken.

Maak aparte database backups

Databases veranderen vaker dan bestanden op je server. Aparte database backups geven je een extra vangnet.

Hoe vaak moet je backups maken?

• E-commerce sites: dagelijks omdat er constant nieuwe bestellingen en klanten bijkomen
• Blogs met comments: wekelijks is meestal voldoende
• Statische sites zonder veel updates: maandelijks

Welke tools kun je gebruiken?

• UpdraftPlus zoals genoemd in Tip 4, deze kan een aparte database backup planning maken
• phpMyAdmin voor een manuele export als .sql bestand
• WP-CLI via de command line met het commando wp db export backup.sql

Test je database export:

1. Open phpMyAdmin en selecteer je database
2. Klik op het Export tabblad bovenin
3. Kies als methode Quick voor een snelle test
4. Kies als format SQL
5. Download het .sql bestand
6. Bewaar het bestand off-site op Dropbox, Google Drive of je lokale computer

Test ook het terugzetten: Importeer de backup in een test database. Controleer of alle tabellen intact zijn.

Vernieuw je WordPress salts en keys

WordPress gebruikt salts en keys in je wp-config.php bestand. Die versleutelen cookies en sessions. Standaard zijn deze keys vaak zwak.

Zo genereer je nieuwe keys:

1. Ga naar de WordPress Salt Generator
2. Kopieer de nieuwe gegenereerde keys
3. Vervang de oude keys in je wp-config.php bestand
4. Zoek naar de sectie "Authentication Unique Keys and Salts"
5. Let op: Alle gebruikers worden direct uitgelogd en moeten opnieuw inloggen

Hoe vaak? Doe dit minimaal 1 keer per jaar. Of direct na een security incident op je site.

Tip 11: implementeer security headers

Security headers zijn speciale instructies die je website naar browsers stuurt. Ze vertellen de browser hoe hij met je content om moet gaan. Deze headers voorkomen XSS aanvallen, clickjacking en andere veelvoorkomende attacks.

Top 5 security headers voor WordPress

1. HTTP Strict Transport Security (HSTS)

• Wat doet het: Deze header forceert browsers om altijd HTTPS te gebruiken
• Er is geen downgrade naar onveilig HTTP mogelijk
• Waarom belangrijk: Dit voorkomt man-in-the-middle aanvallen
• Code voor .htaccess:

<IfModule mod_headers.c>
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>

• Instelling: De waarde max-age=31536000 betekent 1 jaar caching

2. X-Frame-Options

• Wat doet het: Voorkomt dat je site in een <iframe> geladen wordt
• Waarom belangrijk: Dit blokkeert clickjacking aanvallen
• Code:

Header always set X-Frame-Options "SAMEORIGIN"

• Instelling: Met SAMEORIGIN mag alleen je eigen site iframes gebruiken

3. X-Content-Type-Options

• Wat doet het: Voorkomt dat de browser MIME-types gaat raden
• Waarom belangrijk: Dit stopt kwaadaardige scripts vermomd als afbeeldingen of PDFs
• Code:

Header always set X-Content-Type-Options "nosniff"

4. X-XSS-Protection

• Wat doet het: Schakelt de ingebouwde XSS filter van de browser in
• Waarom belangrijk: Dit geeft een extra laag bescherming tegen cross-site scripting
• Code:

Header always set X-XSS-Protection "1; mode=block"

• Let op: Dit is een oudere header. Moderne browsers geven de voorkeur aan Content Security Policy.

5. Content Security Policy (CSP) - Voor gevorderden

• Wat doet het: Bepaalt welke bronnen mogen laden op je site
• Denk aan scripts, stylesheets en afbeeldingen
• Waarom belangrijk: Blokkeert inline scripts en ongeautoriseerde externe content
• Basis code:

Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' https://www.google-analytics.com; style-src 'self' 'unsafe-inline';"

• Waarschuwing: CSP kan je site kapot maken als je het verkeerd configureert. Test eerst goed voordat je het live zet!

Hoe voeg je security headers toe?

Methode 1: Via .htaccess (voor Apache servers)

• Voeg de bovenstaande code toe aan je .htaccess bestand in de root van je site
• Check eerst of mod_headers ingeschakeld is, dat is meestal wel het geval
• Zie ook: Onze .htaccess optimalisatie gids voor meer security snippets

Methode 2: Via een plugin

• Installeer de WP Security Headers plugin
• Deze plugin heeft een point-and-click interface, ideaal voor beginners

Methode 3: Via Cloudflare

• Log in op je Cloudflare dashboard
• Ga naar Rules en dan naar Transform Rules
• Voeg security headers toe via de interface zonder server toegang

Test je security headers

Controleer welke headers actief zijn op je site:

1. SecurityHeaders.com

• Voer je URL in op de website
• Je krijgt een cijfer tussen A+ en F
• Je ziet welke headers ontbreken of verkeerd ingesteld zijn

2. Browser DevTools

• Open de DevTools in je browser met F12
• Klik op het Network tabblad
• Ververs de pagina
• Klik op het HTMLKeurigOnline zegtHTMLHTML is de programmeertaal voor het maken van webpagina’s. document in de lijst
• Ga naar de Headers sectie
• Scroll naar "Response Headers" om alle headers te zien

3. Mozilla Observatory

• Deze tool doet een uitgebreide security scan
• Hij checkt niet alleen headers maar ook SSL en cookies
• Je krijgt concrete aanbevelingen voor verbeteringen

Doel: Probeer een A+ score te behalen op SecurityHeaders.com. Dat betekent HSTS, X-Frame-Options, CSP, nosniff en XSSKeurigOnline zegtXSSXSS is een veelvoorkomende aanval waarbij scripts worden geïnjecteerd in websites om gebruikersdata te stelen. protection allemaal correct ingesteld.

Nuttige bronnen:

• OWASP Secure Headers Project
• MDN Security Headers Documentation

Tip 12: gebruik een CDN met DDoS-bescherming

Een Content Delivery Network, afgekort CDN, verspreidt je website content via servers wereldwijd. Dat maakt je site sneller. Maar CDNs bieden ook belangrijke security voordelen die vaak vergeten worden.

Wat is een CDN en waarom is het veilig?

Zonder CDN: Gebruiker → Je hosting server → Website content

• Al het verkeer gaat direct naar je hosting server
• Een DDoS aanval kan je server volledig overbelasten
• Je hebt maar één zwakke plek, de server zelf

Met een CDN: Gebruiker → CDN Edge Server → Je hosting server

• De CDNKeurigOnline zegtCDNEen CDN (Content Delivery Network) is een wereldwijd netwerk van servers dat content sneller bij gebruikers aflevert. filtert al het verkeer voordat het je server bereikt
• DDoS aanvallen worden opgevangen door het CDN netwerk
• Kwaadaardige verzoeken worden geblokkeerd aan de rand van het netwerk

Welke security voordelen krijg je?

1. DDoS bescherming - Het CDN vangt grote aanvallen op
2. Web Application Firewall (WAF) - Filtert SQL injection en XSS aanvallen
3. Rate limiting - Beperkt het aantal requests per IP adres tegen scraping en brute force
4. Bot bescherming - Blokkeert kwaadaardige bots maar staat goede bots zoals Google toe
5. SSL/TLS afhandeling - Het CDN regelt de SSL verbinding, dat is sneller en veiliger

Extra voordeel: Een CDN verbetert ook je laadtijd en Core Web VitalsKeurigOnline zegtCore Web VitalsCore Web Vitals zijn Google's belangrijkste metrics voor website-ervaring en snelheid. scores. Lees onze WordPress snelheid optimalisatie gids voor complete performance tips.

Top 3 CDNs voor WordPress

1. Cloudflare ⭐ Meest populair

• Gratis plan: Unlimited DDoS mitigation, basic WAF, SSLKeurigOnline zegtSSLSSL (Secure Sockets Layer) is een beveiligingsprotocol voor versleutelde internetverbindingen. certificate
• Security features:
• DDoS protection (all plans, including free)
• Basic WAF rules (free)
• Rate limiting (Pro+ plan, $20/maand)
• Bot Fight Mode (blocks bad bots)
• Setup: Change nameserversKeurigOnline zegtNameserversNameservers zijn DNS-servers die domeinnamen omzetten naar IP-adressen en internetverkeer naar de juiste servers leiden. (5 min)
• Ideal voor: Kleine tot middelgrote sites, beginners
• Plugin: Official Cloudflare plugin

2. Sucuri CDN - Security-first CDN

• Geen gratis plan (vanaf $199/jaar)
• Security features:
• Advanced WAF (WordPress-specific rules)
• Malware scanning & cleanup (bij infections)
• DDoS mitigation
• Virtual patching (bescherm kwetsbare plugins voordat je update)
• Setup: Change DNS records
• Ideal voor: E-commerce, sites met payment data, enterprise
• Plugin: Sucuri Security plugin (gratis, zonder CDN)

3. BunnyCDN - Budget-friendly

• Betaald vanaf €1/maand (pay-as-you-go)
• Security features:
• DDoS protection (included)
• Basic rate limiting
• Token authentication
• Geographic blocking
• Setup: CNAME of DNS change
• Ideal voor: Hobbyisten, startups, cost-conscious

WAF (Web Application Firewall) uitgelegd

Een WAF filtert HTTP traffic tussen users en je server. Denk: firewall specifiek voor web traffic.

Wat WAF blokkeert:

• SQL injection attacks (' OR 1=1--)
• Cross-site scripting (XSS) (<script>alert('hacked')</script>)
• File inclusion attacks (../../../etc/passwd)
• Command injection
• Known vulnerability exploits

Plugin-based WAF vs Cloud WAF:

Plugin WAF (bijv. Wordfence):

• ✅ Geen DNS wijzigingen nodig
• ✅ Gratis opties
• ❌ Blokkeert traffic op je server (server load blijft)
• ❌ Kan bypassed worden bij DDoS

Cloud WAF (Cloudflare, Sucuri):

• ✅ Blokkeert traffic voor je server
• ✅ Beschermt tegen volumetrische DDoS
• ❌ Requires DNS/nameserver wijzigingen
• ❌ Betaald (behalve Cloudflare Free)

Best of both worlds: Cloud WAF (Cloudflare) + Plugin WAF (Wordfence) = defense-in-depth.

Cloudflare setup (5 stappen)

1. Account aanmaken: cloudflare.com/sign-up
2. Domein toevoegen: Voer je domeinnaamKeurigOnline zegtDomeinnaamEen domeinnaam is een uniek webadres gekoppeld aan je website en e-mail, zoals voorbeeld.nl, bedrijf.com of startup.ai. in
3. Plan selecteren: Choose Free ($0/maand)
4. DNS records controleren: Cloudflare scant je DNSKeurigOnline zegtDNSHet Domain Name System (DNS) vertaalt domeinnamen naar IP-adressen, zodat websites makkelijk bereikbaar zijn., controleer of alle records correct
5. Nameservers wijzigen:

• Cloudflare geeft 2 nameservers (bijv. erin.ns.cloudflare.com)
• Log in bij domain registrar (waar je domein gekocht hebt)
• Vervang huidige nameservers door Cloudflare nameservers
• Propagatie: 24-48 uur (meestal binnen 2 uur)

Security settings enablen (na setup):

• SSL/TLS: Set to "Full" or "Full (strict)"
• Security Level: Medium (of High voor extra bescherming)
• Bot Fight Mode: On
• WAF: On (onder Security → WAF)

Let op: Sommige plugins (caching, security) conflicteren met Cloudflare. Test na setup.

Hoe test je of je website veilig is?

Je hebt 12 beveiligingsmaatregelen geïmplementeerd. Maar werken ze? Test is het bewijs.

1. SSL/HTTPS testen

SSL Labs SSL Test

• Voer je URL in
• Wacht 2-3 minuten op scan
• Target: A+ rating
• Checkt: Certificate validity, protocol support, cipher suites, HSTS

Why No Padlock?

• Detecteert mixed content warnings (HTTP resources op HTTPS pagina)
• Toont welke images/scripts/stylesheets niet secure laden

2. Security headers checken

SecurityHeaders.com

• Target: A of A+ grade
• Checkt: HSTS, X-Frame-Options, CSP, X-Content-Type-Options

Mozilla Observatory

• Comprehensive security audit
• Checks headers + SSL + cookies + subresource integrity

3. Malware scanning

Sucuri SiteCheck

• Gratis remote scanner
• Detecteert: Malware, blacklist status, outdated software, security headers

VirusTotal

• Scant URL via 70+ antivirus engines
• Detecteert phishingKeurigOnline zegtPhishingPhishing is een cyberaanval waarbij criminelen zich voordoen als betrouwbare organisaties om gevoelige informatie te stelen., malware, suspicious code

Wordfence (plugin):

• Dashboard → Scan → Start New Scan
• Checks: File integrity, backdoors, malicious URLs, security best practices

4. WordPress security audit

WPScan (WP-CLIKeurigOnline zegtWP-CLIWP-CLI is de command line interface voor WordPress waarmee ontwikkelaars WordPress beheren via de terminal. tool)

• Command line scanner voor WordPress vulnerabilities
• Detecteert outdated plugins/themes met known CVEs

Plugin Security Checker:

• Plugin Security Scanner plugin
• Checks plugins tegen WPScan vulnerability database

5. Penetration testing (gevorderd)

Voor kritieke sites (e-commerce, membership):

OWASP ZAP (Zed Attack Proxy)

• Gratis open-source penetration testing tool
• Automated + manual security scans
• Vereist technische kennis

Professional pentesting services:

• Hire security firm voor comprehensive audit
• Costs: €500-€5000+ depending op site size
• Ideal voor: E-commerce, platforms met user data

Wat te doen als je site is gehackt?

Ondanks alle maatregelen kan het gebeuren. Panic niet. Volg deze stappen:

Immediate response (eerste uren)

1. Bevestig de hack

• Symptomen: Onbekende files, redirects naar spam sites, defaced homepage, warnings in Google Search
• Check: Google Safe Browsing status, Sucuri SiteCheck

2. Site offline halen (optioneel)

• Via hosting control panel: "Maintenance Mode"
• Of replace index.php met maintenance page
• Voorkomt verdere damage, beschermt bezoekers

3. Wijzig alle wachtwoorden

• WordPress admin accounts
• Database password
• FTP/SFTP
• Hosting control panel
• Domain registrar
• Let op: Wijzig nadat malware verwijderd is (anders hacken ze opnieuw in)

Cleanup (1-2 dagen)

4. Scan en identificeer malware

• Run Wordfence/Sucuri scan
• Check recently modified files (FTP/SFTP: sort by date)
• Common locations: wp-content/uploads/, wp-includes/, wp-config.php

5. Verwijder malicious code

• Optie A: Manueel (technical skill vereist)
• Delete suspicious files
• Compare core files met clean WordPress install
• Optie B: Restore from backup (zie Tip 4)
• Restore laatste clean backup (van vóór hack)
• Let op: Verlies van nieuwe content since backup
• Optie C: Professional malware removal
• Sucuri Malware Removal ($200-$300)
• Wordfence Response Team (bij premium)

6. Update ALLES

• WordPress core naar latest version
• Alle plugins en themes
• PHP version (via hosting)

Post-hack hardening (1 week)

7. Identify attack vector

• Hoe kwamen ze binnen? Outdated plugin? Weak password?
• Check server logs (vraag hosting support)
• Fix vulnerability (update plugin, remove if obsolete)

8. Re-implement security measures

• Doorloop deze 12 tips opnieuw
• Extra focus op weak points (file permissions, 2FA, WAF)

9. Monitor voor reinfection

• Daily Wordfence scans (eerste 2 weken)
• Check Google Search Console voor spam links
• Monitor uptime (reinfections cause outages)

10. Blacklist removal (if applicable)

• Google Safe Browsing Review Request
• Bing Webmaster Tools: Request review
• Takes 1-3 dagen voor removal

Prevention is beter dan cure. Maar als het gebeurt: blijf kalm, volg deze stappen, en leer van de experience.

Conclusie: WordPress beveiliging is een continu proces

Je hebt nu 12 concrete stappen om je WordPress website te beveiligen, van beginners-basics (sterke wachtwoorden, SSL) tot gevorderde technieken (security headersKeurigOnline zegtSecurity HeadersHTTP-headers die je website extra beschermen., Cloudflare WAF). Maar WordPress beveiliging is geen one-time setup.

De 3 pijlers van WordPress beveiliging

1. Preventie - De 12 tips in dit artikel

• Implementeer minimaal tips 1-5 (basics) vandaag
• Build naar tips 6-12 (intermediate/advanced) over komende weken
• 80/20 regel: Eerste 5 tips stoppen 80% van attacks

2. Detectie - Monitoring & alerting

• Run wekelijkse security scans (Wordfence, Sucuri)
• Monitor uptimeKeurigOnline zegtUptimeUptime is de tijd dat een server of website operationeel en bereikbaar is, uitgedrukt als percentage. (UptimeRobot, Pingdom)
• Check Google Search Console maandelijks voor security issues
• Set up Wordfence email alerts bij suspicious activity

3. Response - Incident preparedness

• Maintain off-site backups (test restore quarterly)
• Document je security stack (welke plugins, welke settings)
• Know waar je hulp kunt krijgen (Sucuri, Wordfence, security specialist)

Start hier: security checklist voor vandaag

Print deze checklist en vink af wat je al hebt:

• ☐ Sterke wachtwoorden op alle accounts (Tip 1)
• ☐ SSL-certificaat geïnstalleerd + force HTTPS (Tip 2)
• ☐ 2FA actief op admin accounts (Tip 3)
• ☐ Automatische backups enabled + test restore (Tip 4)
• ☐ WordPress + plugins up-to-date (Tip 5)
• ☐ Security plugin geïnstalleerd (Wordfence/iThemes) (Tip 6)
• ☐ Login limiter + CAPTCHA tegen brute force (Tip 7)
• ☐ User roles geaudit, admin accounts minimalized (Tip 8)
• ☐ File permissions correct (644 files, 755 dirs, 600 wp-config) (Tip 9)
• ☐ Database password strong + prefix gewijzigd (Tip 10)
• ☐ Security headers enabled (minimaal HSTS + X-Frame) (Tip 11)
• ☐ CDNKeurigOnline zegtCDNEen CDN (Content Delivery Network) is een wereldwijd netwerk van servers dat content sneller bij gebruikers aflevert. met DDoS protection (Cloudflare Free is genoeg) (Tip 12)

Done 0-4? Je bent kwetsbaar. Prioriteit: Tips 1-5 vandaag implementeren.

Done 5-8? Goede basis. Add Tips 9-12 deze maand voor pro-level security.

Done 9-12? Excellent! Maintain: monthly security scans + quarterly update audits.

Beyond de basics: blijf leren

Website security evolueert. Nieuwe threats, nieuwe tools, nieuwe best practices. Blijf bij:

• WordPress Security News - Official vulnerability announcements
• OWASP Community - Web application security standards
• Wordfence Blog - WordPress-specific threat intelligence

Gerelateerde artikelen van ons:

• WordPress website sneller maken - Performance optimalisatie tips
• Beste LiteSpeed Cache instellingen - Server performance & caching
• .htaccess optimalisatie snippets - Apache configuratie voor security & speed
• WordPress hosting - Onze geoptimaliseerde WordPress hosting pakketten met gratis SSL en dagelijkse backups

Je website is veilig wanneer je het blijft onderhouden. Niet door eenmalige setup, maar door ongoing vigilance. Start vandaag met Tip 1, en build van daaruit. Over 3 maanden kijk je terug en realiseer je: "Mijn site is 100x veiliger dan voorheen."

Succes met het beveiligen van je website!

Veelgestelde vragen over WordPress beveiliging

Hieronder beantwoorden we de 12 meest gestelde vragen over WordPress beveiliging. Van basisvragen over SSL en 2FA tot geavanceerde onderwerpen zoals security headers en incident response.

Basis vragen

SSL en encryptie

Authenticatie en login

Security plugins

Backups

Technische configuratie

CDN en DDoS bescherming

Incident response

Testing en kosten

Bronnen en referenties

Deze gids is gebaseerd op officiële documentatie, security standards, en best practices van:

Official Documentation & Standards

• WordPress Hardening Guide
• OWASP (Open Web Application Security Project)
• MDN Web Security Documentation
• Apache HTTP Server Documentation

Security Testing & Validation Tools

• Qualys SSL Labs SSL Test
• SecurityHeaders.com
• Mozilla Observatory
• Sucuri SiteCheck
• VirusTotal

WordPress Security Resources

• Wordfence Security Plugin
• iThemes Security Plugin
• WPScan Vulnerability Database

Password & Authentication Tools

• 1Password
• Bitwarden
• Have I Been Pwned

CDN & DDoS Protection

• Cloudflare
• Sucuri

CAPTCHA Services

• Google reCAPTCHA
• hCaptcha
• Cloudflare Turnstile

Additional Reading

• Wordfence Learning Center
• OWASP Top 10 Web Application Security Risks
• Cloudflare Web Application Security Learning Center

Laatst bijgewerkt: December 2026

Auteur: KeurigOnline Web Hosting & Development