WordPress beveiliging: complete gids om je website te beschermen

# WordPress beveiliging: complete gids om je website te beschermen Je WordPress website is een doelwit. Elke dag worden er 90.000+ WordPress websites gehackt. Hackers stelen klantgegevens, injecteren malware, of gebruiken je server voor spam. Een gehackte website betekent verloren omzet, beschadigde reputatie en boze klanten. De goede nieuws? WordPress zelf is veilig. Het zijn slechte beveiligingspraktijken die websites kwetsbaar maken. In deze gids leer je precies hoe je je WordPress website volledig beveiligt tegen hackers, malware en andere bedreigingen. ## Waarom WordPress websites gehackt worden **Veelvoorkomende redenen:** - Zwakke wachtwoorden (nog steeds #1 oorzaak) - Verouderde WordPress versies met bekende kwetsbaarheden - Onveilige plugins en thema's - Gedeelde hosting met gecompromitteerde buurman - Geen SSL-certificaat - Standaard admin gebruikersnaam **Wat hackers doen met gehackte websites:** - SEO spam injecteren (hidden links naar sketchy sites) - Malware verspreiden naar je bezoekers - Phishing pagina's hosten - Je server gebruiken voor DDoS aanvallen - Klantgegevens stelen - Ransomware: site gegijzeld tot losgeld betaald **Kosten van een hack:** - Website cleanup: €200-€1000+ - Verloren omzet tijdens downtime - Google blacklist (kan weken duren om eraf te komen) - Klanten verliezen door reputatieschade - Mogelijk juridische problemen bij datalekken Preventie is 100x goedkoper en makkelijker dan herstellen na een hack. ## 1. Gebruik sterke wachtwoorden en 2FA Zwakke wachtwoorden zijn verantwoordelijk voor 8 uit 10 hacks. "admin123", "password", of je bedrijfsnaam zijn gevaarlijk. **Sterke wachtwoorden maken:** **Gebruik een password manager:** - 1Password (€2,99/mnd) - Bitwarden (gratis/€10/jaar) - LastPass (freemium) Deze tools: - Genereren random wachtwoorden van 20+ karakters - Slaan alles veilig versleuteld op - Auto-fill in browsers - Sync tussen apparaten **Wachtwoord vereisten:** - Minimaal 16 karakters - Hoofdletters, kleine letters, cijfers, symbolen - Geen woordenboekwoorden - Uniek per account (nooit hergebruiken!) **Voorbeeld sterk wachtwoord:** `k9$mPx2#vL4@qN8wZ!yR` **Two-Factor Authentication (2FA) instellen:** **Via Wordfence plugin:** 1. Installeer Wordfence Security (gratis) 2. Ga naar Wordfence > Login Security 3. Klik "Enable 2FA" 4. Scan QR code met authenticator app (Google Authenticator, Authy) 5. Voer testcode in om te activeren **Via iThemes Security:** 1. Installeer iThemes Security plugin 2. Ga naar Security > Settings > Two-Factor Authentication 3. Enable voor alle admin users 4. Kies methode: authenticator app of e-mail codes Nu is login onmogelijk zonder fysieke toegang tot je telefoon, zelfs als wachtwoord gelekt is. ## 2. Houd WordPress, plugins en thema's up-to-date Verouderde software is de #2 oorzaak van hacks. Elke update patcht bekende beveiligingslekken. **Waarom updates cruciaal zijn:** Voorbeeld: 2021 WordFence patch voor vulnerability die 1+ miljoen sites trof. Hackers hadden volledige site toegang. Oplossing: update naar WordPress 5.7.1. Sites die niet updaten werden massaal gehackt. **Automatische updates inschakelen:** **WordPress core updates:** Voeg toe aan wp-config.php: ```php define('WP_AUTO_UPDATE_CORE', true); ``` Dit update WordPress automatisch naar nieuwe versies. **Plugin updates automatiseren:** **Easy Updates Manager plugin** (gratis): 1. Installeer Easy Updates Manager 2. Ga naar Dashboard > Updates Options 3. Enable "Auto Update Plugins" 4. Optioneel: exclude kritische plugins voor handmatige controle 5. Enable e-mail notificaties **Thema updates:** Meestal veilig om automatisch te updaten, maar test altijd eerst op staging als je custom aanpassingen hebt. **Update routine:** - Maak backup VOOR updates - Test updates eerst op staging omgeving - Check je site na updates - Houd changelog bij van updates **Plugins en thema's van betrouwbare bronnen:** - Alleen van WordPress.org repository - Of bekende premium developers (Elegant Themes, StudioPress) - Check reviews en recent update datum - Vermijd "nulled" plugins (gecrackde betaalde plugins = vaak malware) ## 3. Installeer een security plugin Security plugins monitoren je site 24/7 en blokkeren aanvallen automatisch. **Beste WordPress security plugins:** **Wordfence Security** (gratis/premium) **Gratis features:** - Web Application Firewall (WAF) - Malware scanner - Login security (2FA, login limiter) - Real-time threat defense feed - Traffic monitoring **Premium features** (€99/jaar): - Real-time firewall updates (gratis: 30 dagen vertraging) - Real-time malware signatures - Country blocking - Priority support **Installeren en configureren:** 1. Installeer Wordfence 2. Run eerste scan (kan 30-60 min duren) 3. Review en fix gevonden issues 4. Enable "Extended Protection" (gratis) 5. Setup e-mail alerts **iThemes Security** (gratis/pro) **Gratis features:** - Brute force protection - 404 detection (bots scannen voor vulnerabilities) - Database backups - Strong password enforcement - 2FA **Installeren:** 1. Installeer iThemes Security 2. Run Security Check 3. Click "Secure Site" voor one-click hardening 4. Manually review advanced settings **Sucuri Security** (gratis plugin + betaalde firewall) **Gratis plugin:** - Malware scanner - Security activity auditing - File integrity monitoring - Blacklist monitoring **Betaalde firewall** (€200/jaar): - Cloud-based WAF (sneller dan plugin firewalls) - DDoS protection - CDN inbegrepen - Garantie: site cleanup bij hack **Welke kiezen?** - **Beginners:** Wordfence gratis (meest features, user-friendly) - **Geavanceerd:** iThemes Security Pro (€80/jaar) - **Enterprise:** Sucuri firewall (€200/jaar) ## 4. Limiteer login pogingen Hackers gebruiken brute force attacks: duizenden wachtwoorden proberen tot ze binnenkomen. **Login limiter instellen:** **Via Wordfence:** 1. Ga naar Wordfence > All Options 2. Zoek "Brute Force Protection" 3. Stel in: "Lock out after 5 failed logins" 4. Lock out duration: 60 minutes 5. Enable "Immediately block IP after 10 lockouts" **Via Limit Login Attempts Reloaded** (gratis): 1. Installeer plugin 2. Settings > Limit Login Attempts 3. Max 4 attempts 4. Lockout: 20 minutes 5. Enable long lockout na 4 lockouts (24 uur) **Extra beveiliging: verberg wp-login.php** **WPS Hide Login plugin** (gratis): 1. Installeer WPS Hide Login 2. Settings > WPS Hide Login 3. Verander login URL naar iets unieks: jouwsite.nl/secretlogin247 4. wp-admin en wp-login.php werken niet meer 5. Hackers kunnen login pagina niet eens vinden **Let op:** Bewaar je custom login URL goed! Bookmark het. ## 5. Verander standaard admin gebruikersnaam Hackers proberen altijd eerst "admin" als gebruikersnaam. Maak het ze moeilijker. **Admin gebruikersnaam wijzigen:** Je kan de gebruikersnaam niet direct wijzigen in WordPress. Oplossing: 1. Log in als admin 2. Ga naar Gebruikers > Nieuwe toevoegen 3. Maak nieuwe gebruiker met unieke naam (bv. john_admin_2847) 4. Geef deze Administrator rechten 5. Log uit en in met nieuwe gebruiker 6. Verwijder oude "admin" gebruiker 7. Wijs alle content toe aan nieuwe gebruiker **Bonus: verberg gebruikersnamen in author URLs** Standaard toont WordPress je gebruikersnaam in URLs: jouwsite.nl/author/admin **Edit Author Slug plugin** (gratis): 1. Installeer plugin 2. Gebruikers > Je profiel 3. Edit Author Slug: verander naar nickname of custom slug 4. Echte gebruikersnaam blijft verborgen ## 6. Installeer SSL-certificaat (HTTPS) SSL versleutelt data tussen bezoeker en server. Zonder SSL kunnen hackers wachtwoorden onderscheppen. **SSL voordelen:** - Beschermt gevoelige data (wachtwoorden, creditcards) - Google ranking boost - Browserwaarschuwing bij geen SSL ("Niet beveiligd") - Vertrouwen van bezoekers **Gratis SSL installeren:** De meeste hosting providers bieden gratis Let's Encrypt SSL: **Via hosting control panel:** 1. Log in op hosting dashboard 2. Zoek "SSL" of "SSL Certificates" 3. Selecteer je domein 4. Klik "Install Let's Encrypt SSL" 5. Wacht 2-10 minuten voor activatie **WordPress forceren naar HTTPS:** **Really Simple SSL plugin** (gratis): 1. Installeer plugin 2. Activeer plugin 3. Plugin detecteert SSL en configureert alles automatisch 4. Site is nu volledig HTTPS **Handmatig (zonder plugin):** Voeg toe aan wp-config.php: ```php define('FORCE_SSL_ADMIN', true); ``` En voeg toe aan .htaccess: ```apache RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] ``` ## 7. Maak regelmatig backups Backups redden je bij hacks, crashes, of fouten. Je kan alles terugzetten in minuten. **Backup strategie:** **3-2-1 regel:** - 3 kopieën van je data - 2 verschillende media (server + cloud) - 1 offsite backup (externe locatie) **Backup frequentie:** - Database: dagelijks (klein, verandert vaak) - Bestanden: wekelijks (groter, verandert minder) - Voor webshops: meerdere keren per dag **Beste backup plugins:** **UpdraftPlus** (gratis/premium) **Gratis features:** - Volledige site backups - Automatische scheduling - Opslaan in cloud (Google Drive, Dropbox, OneDrive) - 1-klik restore **Configureren:** 1. Installeer UpdraftPlus 2. Settings > UpdraftPlus Backups 3. Files backup schedule: Weekly 4. Database backup schedule: Daily 5. Kies remote storage (Google Drive) 6. Autoriseer en test backup **Premium versie** (€70/jaar): - Incremental backups (sneller) - Multisite support - Priority support - Migratie tool **BlogVault** (betaald, €89/jaar) - Dagelijkse automatische backups - 365 dagen backup geschiedenis - Staging omgeving inbegrepen - Malware scanning - 1-click restore **BackupBuddy** (€80/jaar) - Complete backups + database only opties - Migratie tool inbegrepen - Backup naar Stash (eigen cloud) **Test je backups:** Maak één keer per kwartaal een test restore op staging omgeving. Backup die niet restore't is nutteloos. ## 8. Beveilig wp-config.php en .htaccess Deze bestanden bevatten gevoelige configuratie en database credentials. **wp-config.php beschermen:** Voeg toe aan .htaccess (in root folder): ```apache order allow,deny deny from all ``` **Of verplaats wp-config.php één folder hoger** (buiten public_html): WordPress zoekt automatisch één niveau hoger als het niet in root staat. **.htaccess beschermen:** Voeg toe aan .htaccess: ```apache order allow,deny deny from all ``` **Database prefix wijzigen:** Standaard prefix is "wp_" - voorspelbaar voor SQL injection attacks. Tijdens installatie: verander naar iets randoms zoals "k8m3_" **Na installatie:** Gebruik "Change DB Prefix" plugin of handmatig via phpMyAdmin (gevorderd). ## 9. Disable file editing in dashboard WordPress laat admins standaard plugins en thema's bewerken via dashboard. Als hacker toegang krijgt, kan hij makkelijk backdoors injecteren. **File editing uitschakelen:** Voeg toe aan wp-config.php: ```php define('DISALLOW_FILE_EDIT', true); ``` Nu is "Edit" optie verdwenen uit Plugins en Appearance menu's. Voor wijzigingen gebruik je FTP/SFTP. ## 10. Implementeer Web Application Firewall (WAF) Een WAF filtert malicious traffic voordat het je website bereikt. **Types firewalls:** **Plugin-based firewall:** - Wordfence, iThemes Security - Draait op je server - Gratis maar gebruikt server resources **Cloud-based firewall:** - Sucuri, Cloudflare - Traffic gaat eerst door hun servers - Sneller en geen server load - Betaald (Sucuri) of gratis (Cloudflare) **Cloudflare WAF instellen (gratis):** 1. Maak gratis Cloudflare account 2. Voeg je domein toe 3. Update nameservers bij domein provider 4. Firewall rules automatisch actief 5. Customize rules onder Security > WAF **Cloudflare security instellingen:** - Security Level: Medium (of High bij veel aanvallen) - Challenge Passage: 30 minutes - Browser Integrity Check: On **Sucuri Firewall** (€200/jaar): - Professionele WAF - DDoS mitigation - Malware cleanup garantie - CDN inbegrepen ## 11. Beveilig WordPress directory permissions Verkeerde file permissions laten hackers bestanden wijzigen. **Correcte permissions:** Folders: 755 Bestanden: 644 wp-config.php: 440 of 400 **Permissions instellen via FTP:** 1. Connect via FileZilla of andere FTP client 2. Rechtsklik op wp-content folder 3. File permissions > 755 > Apply to directories recursively 4. Rechtsklik weer > File permissions > 644 > Apply to files recursively 5. wp-config.php apart: permissions 440 **Via SSH (als je toegang hebt):** ```bash find /path/to/wordpress/ -type d -exec chmod 755 {} \; find /path/to/wordpress/ -type f -exec chmod 644 {} \; chmod 440 wp-config.php ``` ## 12. Disable XML-RPC als je het niet gebruikt XML-RPC is een API die vaak misbruikt wordt voor brute force attacks. **XML-RPC check:** Ga naar: jouwsite.nl/xmlrpc.php Als je een pagina ziet met "XML-RPC server accepts POST requests only" - het is actief. **XML-RPC uitschakelen:** **Disable XML-RPC plugin** (gratis): Simpel: installeer, activeer, klaar. **Handmatig via .htaccess:** ```apache order deny,allow deny from all ``` **Let op:** Jetpack en mobiele apps gebruiken XML-RPC. Disable alleen als je deze niet gebruikt. ## 13. Monitor je website op malware Zelfs met alle beveiligingsmaatregelen kan een nieuwe vulnerability je treffen. Monitor regelmatig. **Malware scanning tools:** **Wordfence scan** (ingebouwd): - Dagelijkse automatische scans - Vergelijkt core files met officiële repository - Detecteert backdoors, malware, spam injections **Sucuri SiteCheck** (gratis online): 1. Ga naar sitecheck.sucuri.net 2. Voer je URL in 3. Scan toont malware, blacklist status, SSL issues **Google Search Console:** - Gratis tool - Waarschuwt bij malware of gehackte content - Setup op search.google.com/search-console **MalCare** (betaald, €99/jaar): - Dagelijkse malware scans - Auto-cleanup bij detectie - Firewall inbegrepen **Wat te doen bij malware detectie:** 1. **Neem site offline** (maintenance mode) 2. **Verander alle wachtwoorden** (WordPress, hosting, database, FTP) 3. **Scan lokale computer** op malware (mogelijk gestolen FTP credentials) 4. **Herstel van clean backup** (als recent beschikbaar) 5. **Of gebruik cleanup service:** - Sucuri (€200-€500) - Wordfence Response Team (€490) 6. **Update alles** na cleanup 7. **Verbeter security** om herhaling te voorkomen ## 14. Hardening maatregelen Extra security maatregelen voor optimale bescherming. **Disable directory browsing:** Voeg toe aan .htaccess: ```apache Options -Indexes ``` Nu kunnen hackers niet door je folders browsen op: jouwsite.nl/wp-content/uploads/ **Hide WordPress versie:** Voeg toe aan functions.php: ```php remove_action('wp_head', 'wp_generator'); ``` Hackers zien niet meer welke WordPress versie je draait. **Verander database tabel prefix:** Tijdens installatie: verander "wp_" naar "xk9_" of random prefix. Na installatie: gebruik plugin of handmatig via phpMyAdmin. **Disable PHP execution in uploads folder:** Voeg .htaccess toe in /wp-content/uploads/: ```apache deny from all ``` Hackers kunnen geen scripts uitvoeren zelfs als ze bestanden uploaden. ## 15. Kies veilige WordPress hosting Goedkope shared hosting deelt server met honderden sites. Als één gehackt wordt, loop jij ook risico. **Veilige hosting features:** - Malware scanning - Automatische backups - Server-level firewall - DDoS protection - Isolated accounts (gedeelde server, isolated bestanden) - Automated WordPress updates - SSL certificaten inbegrepen **Veiligste WordPress hosting providers:** **Antagonist** (€15/mnd) - Managed WordPress security - Malware scanning en removal - Automatische backups - DDoS protection - [Bekijk Antagonist](/nl/providers/antagonist) **TransIP** (€4,95/mnd) - Gratis SSL - Dagelijkse backups - DDoS bescherming - [Bekijk TransIP](/nl/providers/transip) [Vergelijk veilige WordPress hosting](/nl/wordpress/hosting) ## Veelgestelde vragen over WordPress beveiliging **Is WordPress veilig?** WordPress core is zeer veilig. De meeste hacks komen door zwakke wachtwoorden, verouderde plugins, of slechte hosting. Met juiste beveiligingsmaatregelen is WordPress extreem veilig. **Wat kost WordPress beveiliging?** Basis beveiliging is gratis (plugins, updates, sterke wachtwoorden). Premium: Wordfence Premium €99/jaar, backup service €70-100/jaar, premium hosting €10-20/mnd extra. Totaal €200-400/jaar voor complete bescherming. **Hoe weet ik of mijn WordPress gehackt is?** Tekenen: site laadt traag, rare redirects, onbekende admin gebruikers, Google blacklist waarschuwing, spam content op je site. Check met Wordfence scan of Sucuri SiteCheck. **Kan ik mijn WordPress site zelf beschermen of heb ik een expert nodig?** Deze gids geeft je alles wat je nodig hebt. Basis beveiligingsmaatregelen zijn makkelijk te implementeren. Voor geavanceerde security of na een hack kan een expert helpen. **Welke security plugin is het beste?** Wordfence (gratis) biedt meeste features en is user-friendly. iThemes Security is goed alternatief. Voor enterprise: Sucuri firewall (betaald, €200/jaar). ## Praktische security checklist **Direct implementeren (1-2 uur):** - [ ] Installeer Wordfence Security - [ ] Verander admin wachtwoord naar 20+ karakters random - [ ] Enable 2FA op admin account - [ ] Install SSL certificaat - [ ] Setup UpdraftPlus backups (daily) - [ ] Run eerste malware scan **Deze week (3-4 uur):** - [ ] Update WordPress, plugins, thema's - [ ] Enable automatische updates - [ ] Limiteer login pogingen - [ ] Verander admin gebruikersnaam - [ ] Hide login pagina met WPS Hide Login - [ ] Disable file editing (wp-config.php) - [ ] Test backup restore **Geavanceerde hardening (optioneel, 2-3 uur):** - [ ] Implementeer Cloudflare WAF - [ ] Fix file permissions (755/644) - [ ] Disable XML-RPC - [ ] Setup Google Search Console monitoring - [ ] Verander database prefix - [ ] Overweeg hosting upgrade **Maandelijks onderhoud:** - [ ] Run malware scan - [ ] Check voor plugin/thema updates - [ ] Review security logs in Wordfence - [ ] Test backup restore (elk kwartaal) - [ ] Check Google Search Console voor issues **Na hack (emergency procedure):** 1. Site offline (maintenance mode) 2. Alle wachtwoorden wijzigen 3. Scan lokale computer op malware 4. Restore van clean backup OF hire cleanup service 5. Update alles naar laatste versies 6. Implement alle security measures uit deze gids 7. Monitor extra intensief eerste maanden **Meer informatie:** - [Kies veilige WordPress hosting](/nl/beste-wordpress-hosting) - [Maak automatische backups](/nl/wordpress/backups) - [WordPress kennisbank](/nl/kennisbank) Je WordPress website is nu maximaal beveiligd tegen hackers en malware. Slaap rustig!