WordPress draait op bijna de helft van alle websites. Dat maakt het een geliefd doelwit. In 2026 zien we slimmere aanvallen, vaak via verouderde plugins of zwakke wachtwoorden. Het goede nieuws: de meeste hacks voorkom je met een handvol basismaatregelen. Hieronder de stappen die er echt toe doen.
Begin bij de basis
Het grootste deel van de inbraken komt door simpele dingen. Pak die eerst aan.
- Gebruik lange, unieke wachtwoorden via een wachtwoordmanager. Geen 'admin' als gebruikersnaam.
- Zet two-factor authentication aan. Zelfs met je wachtwoord komt een hacker er dan niet in. Een app als Google Authenticator is zo ingesteld.
- Kies één beveiligingsplugin, bijvoorbeeld Wordfence of Sucuri. Meerdere plugins met dezelfde functie geven conflicten.
- Zet automatische updates aan voor WordPress, je plugins en je thema. Verouderde software is de nummer één oorzaak van gehackte sites.
- Verwijder plugins en thema's die je niet gebruikt. Deactiveren is niet genoeg. Minder code betekent minder risico, en een snellere site.
- Maak automatische back-ups en test af en toe of je ze echt kunt terugzetten. Een back-up die je nooit hebt geprobeerd, is geen back-up.
Sluit de bekende deuren
Een paar instellingen maken het hackers een stuk lastiger.
- Zet SSL aan zodat je site altijd via https werkt. Gratis via Let's Encrypt, en Google waardeert het ook.
- Bescherm je inlogpagina: blokkeer foute inlogpogingen en verander eventueel je login-URL.
- Schakel XML-RPC uit als je het niet gebruikt. Het is een populaire ingang voor aanvallen.
- Scherm gevoelige bestanden af zoals wp-config.php en .htaccess, en blokkeer het uitvoeren van PHP in je uploads-map.
Houd het bij
Beveiliging is geen eenmalige klus. Het is onderhoud.
- Werk updates snel bij, maar maak eerst een back-up en check daarna of alles nog werkt.
- Draai elke week een beveiligingsscan, bijvoorbeeld met Wordfence of WPScan.
- Gebruik uptime monitoring zodat je meteen een melding krijgt als je site offline gaat of er iets verdachts gebeurt.
- Leg een herstelplan vast: site offline, oorzaak zoeken, back-up terug, wachtwoorden wijzigen. Zo hoef je niet na te denken op het moment dat het misgaat.
Regel je gebruikers en je hosting
Twee plekken waar het vaak misgaat.
- Geef iedereen een eigen account met alleen de rechten die nodig zijn. Een redacteur hoeft geen plugins te installeren. Deel nooit één admin-account.
- Log wie wanneer inlogt en stel alerts in op rare dingen, zoals een nieuw admin-account of een inlog buiten kantooruren.
- Kies goede hosting, het liefst managed WordPress hosting met automatische back-ups, een firewall en monitoring. Een Nederlands datacenter is mooi meegenomen.
- Draai altijd op de nieuwste PHP-versie.
Maandelijkse check
Zet één moment per maand in je agenda. Loop dan je updates, back-ups en logs na, controleer de gebruikersrechten en gooi oude accounts weg. Eens per kwartaal pak je het wat grondiger aan.
Beveiliging hoeft niet ingewikkeld te zijn, maar het vraagt wel aandacht. Wil je hier geen omkijken naar hebben? Dan is een onderhoudscontract vaak de rust die je zoekt. Dan houden wij dit voor je in de gaten, zodat jij je met je bedrijf bezig kunt houden.
