WordPress draait op meer dan 40% van alle websites wereldwijd. Die populariteit maakt het platform helaas ook een aantrekkelijk doelwit voor hackers. Dagelijks worden duizenden WordPress-sites aangevallen — niet door gerichte hackers, maar door geautomatiseerde scripts die zwakke plekken zoeken.
Het goede nieuws: de meeste hacks zijn te voorkomen met relatief eenvoudige maatregelen. Bij OnlineLabs beveiligen we WordPress-websites al sinds 2008. In dit artikel deel ik 10 praktische tips die je vandaag nog kunt toepassen om je WordPress-site te beschermen tegen hackers.
1. Houd WordPress, plugins en thema’s up-to-date
Verouderde software is de belangrijkste oorzaak van gehackte WordPress-websites. Beveiligingsupdates dichten bekende lekken — als je die updates negeert, laat je de deur wagenwijd openstaan.
Update strategie:
- WordPress core: direct updaten bij beveiligingsreleases
- Plugins: wekelijks controleren en updaten
- Thema’s: maandelijks controleren
- Maak altijd een back-up vóór grote updates
Automatische updates voor kleine releases kun je inschakelen via je dashboard of wp-config.php. Voor grote updates is handmatig controleren veiliger — test eerst op een staging-omgeving als je die hebt.
Meer over updates lees je in ons artikel over website onderhoud.
2. Gebruik sterke, unieke wachtwoorden
Zwakke wachtwoorden zijn de tweede grote boosdoener. “Welkom123” of “bedrijfsnaam2024” zijn binnen seconden te kraken met brute force attacks.
Wachtwoord-eisen:
- Minimaal 16 karakters
- Mix van hoofdletters, kleine letters, cijfers en symbolen
- Geen woorden uit het woordenboek
- Uniek per account (niet hergebruiken)
Wachtwoordmanagers:
- Bitwarden (gratis, open source)
- 1Password (betaald, gebruiksvriendelijk)
- LastPass (freemium)
Dwing sterke wachtwoorden af voor alle gebruikers via een plugin zoals “Password Policy Manager” of de ingebouwde functie in Wordfence.
3. Schakel tweefactorauthenticatie in
Tweefactorauthenticatie (2FA) voegt een extra beveiligingslaag toe. Zelfs als iemand je wachtwoord weet, kan diegene niet inloggen zonder de tweede factor.
2FA-methodes:
- Authenticator-app (Google Authenticator, Authy) — aanbevolen
- SMS-code — beter dan niets, maar minder veilig
- Hardware key (YubiKey) — meest veilig
Plugins voor 2FA:
- Wordfence Security (inclusief 2FA)
- WP 2FA
- Google Authenticator plugin
Schakel 2FA in voor alle beheerders en redacteuren. Voor gewone abonnees is het optioneel, afhankelijk van wat ze kunnen doen op je site.
4. Beperk inlogpogingen
Brute force attacks proberen duizenden wachtwoordcombinaties per minuut. Door het aantal inlogpogingen te beperken, stop je deze aanvallen.
Aanbevolen instellingen:
- Maximaal 3-5 mislukte pogingen
- Blokkeer IP voor 15-60 minuten na limiet
- Permanente blokkade na herhaalde overtredingen
Plugins:
- Limit Login Attempts Reloaded (gratis, simpel)
- Wordfence (uitgebreid, inclusief firewall)
- Solid Security (voorheen iThemes Security)
De meeste beveiligingsplugins hebben deze functie ingebouwd. Je hoeft geen aparte plugin te installeren als je al Wordfence of Solid Security gebruikt.
5. Wijzig de standaard login-URL
De standaard WordPress login-URL (/wp-admin en /wp-login.php) is bij iedereen bekend. Door deze te wijzigen, maak je het hackers moeilijker om überhaupt bij je inlogpagina te komen.
Hoe wijzigen:
- Plugin: WPS Hide Login (gratis, lichtgewicht)
- Kies een unieke URL zoals /mijn-toegang of /kantoor
- Vermijd voorspelbare alternatieven zoals /login of /admin
Let op:
- Onthoud je nieuwe URL goed (bookmark!)
- Informeer andere beheerders
- Sommige plugins en thema’s kunnen conflicteren
Dit is security through obscurity — het stopt geen gerichte aanval, maar filtert wel 99% van de geautomatiseerde scripts.
6. Installeer een beveiligingsplugin
Een goede beveiligingsplugin combineert meerdere beschermingslagen in één pakket: firewall, malware-scanner, login-beveiliging en monitoring.
Top beveiligingsplugins:
| Plugin | Prijs | Sterke punten |
| Wordfence | Gratis / €119/jaar | Uitgebreide firewall, live traffic |
| Solid Security Pro | €99/jaar | Gebruiksvriendelijk, 2FA |
| Sucuri | €199/jaar | Externe firewall, CDN, cleanup |
| MalCare | €99/jaar | Snelle malware-scan, auto-cleanup |
Onze aanbeveling: Wordfence voor de meeste websites. Het gratis plan biedt al uitstekende bescherming. De premium versie voegt real-time firewall-regels en priority support toe.
Installeer niet meerdere beveiligingsplugins tegelijk — ze conflicteren en vertragen je site.
7. Maak regelmatig back-ups
Back-ups zijn je laatste redmiddel als het toch misgaat. Een gehackte site kun je herstellen naar een schone versie — mits je recente back-ups hebt.
Back-up strategie:
- Dagelijkse back-ups voor actieve sites
- Wekelijkse back-ups voor statische sites
- Bewaar minimaal 30 dagen historie
- Sla back-ups extern op (niet alleen op dezelfde server)
Back-up plugins:
- UpdraftPlus (gratis, betrouwbaar)
- BlogVault (betaald, inclusief staging)
- Jetpack Backup (betaald, real-time)
Externe opslag:
- Google Drive
- Dropbox
- Amazon S3
- Eigen server/NAS
Test je back-ups regelmatig door ze te herstellen op een staging-omgeving. Een back-up die niet werkt is geen back-up.
8. Gebruik SSL en forceer HTTPS
Een SSL-certificaat versleutelt de verbinding tussen je website en bezoekers. Zonder SSL kunnen wachtwoorden en andere gegevens onderschept worden.
SSL implementeren:
- De meeste hostingproviders bieden gratis SSL (Let’s Encrypt)
- Installeer via je hosting-dashboard
- Forceer HTTPS via .htaccess of een plugin
HTTPS forceren via .htaccess:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]Of via plugin:
- Really Simple SSL (automatische configuratie)
Check na installatie op mixed content — afbeeldingen of scripts die nog via http laden. Tools zoals Why No Padlock helpen bij het opsporen.
9. Verwijder ongebruikte plugins en thema’s
Elke geïnstalleerde plugin is een potentieel beveiligingsrisico, ook als je hem niet actief gebruikt. Ongebruikte plugins ontvangen vaak geen updates en worden een toegangspoort voor hackers.
Opruimactie:
- Verwijder plugins die je niet gebruikt (deactiveren is niet genoeg)
- Houd maximaal één inactief thema (voor noodgevallen)
- Verwijder oude WordPress-installaties in subdirectories
- Controleer op achtergelaten testbestanden
Extra checks:
- Verwijder readme.html en license.txt uit je root
- Verwijder de standaard “Hello Dolly” plugin
- Check /wp-content/uploads op verdachte PHP-bestanden
Een schone installatie is niet alleen veiliger, maar ook sneller. Minder code betekent betere Core Web Vitals.
10. Kies betrouwbare hosting
Je hosting vormt de basis van je beveiliging. Goedkope shared hosting deelt resources met honderden andere sites — als één daarvan gehackt wordt, loop jij risico.
Waar op letten:
- Server-level firewall
- Automatische malware-scans
- Gratis SSL-certificaten
- Dagelijkse back-ups
- PHP 8.x ondersteuning
- Goede support bij incidenten
Aanbevolen WordPress-hosting:
- Kinsta (premium managed hosting)
- Cloudways (flexibel, goede prijs-kwaliteit)
- SiteGround (betrouwbaar, goede support)
- TransIP (Nederlandse partij)
Managed WordPress-hosting kost meer, maar neemt veel beveiligingstaken uit handen. Voor bedrijfskritische websites is dat de investering waard.
Wat te doen als je gehackt bent
Ondanks alle voorzorgsmaatregelen kan het toch misgaan. Snelheid is cruciaal bij een hack.
Stappenplan bij hack:
- Zet je site offline of in onderhoudsmodus
- Wijzig alle wachtwoorden (WordPress, hosting, FTP, database)
- Herstel een schone back-up van vóór de hack
- Scan op malware met Wordfence of Sucuri
- Update alles naar de laatste versies
- Controleer gebruikersaccounts op onbekende beheerders
- Check Google Search Console op beveiligingswaarschuwingen
Geen recente back-up? Plugins zoals Wordfence en MalCare kunnen malware verwijderen, maar handmatige cleanup door een specialist is soms nodig.
Conclusie
WordPress beveiligen hoeft niet ingewikkeld te zijn. Met deze 10 tips bescherm je je website tegen het overgrote deel van de aanvallen. Begin met de basis — updates, sterke wachtwoorden en een beveiligingsplugin — en bouw van daaruit verder.
De belangrijkste les: beveiliging is geen eenmalige actie maar doorlopend onderhoud. Plan maandelijks een security-check in en blijf alert op verdachte activiteit.
Hulp nodig bij het beveiligen van je WordPress-website? Neem contact op met OnlineLabs. We helpen je graag met een veilige, snelle website die je zorgeloos kunt laten maken of onderhouden.
Hoe veilig is WordPress?
WordPress zelf is veilig — de meeste hacks ontstaan door verouderde plugins, zwakke wachtwoorden of slechte hosting. Met de juiste maatregelen is WordPress net zo veilig als elk ander CMS.
Welke beveiligingsplugin is het beste?
Wordfence is de meest complete gratis optie met firewall, malware-scanner en login-beveiliging. Voor extra gemak en externe scanning is Sucuri een goede betaalde keuze. Kies één plugin en configureer die goed.
Hoe beveilig ik mijn WordPress login?
Gebruik sterke wachtwoorden, schakel tweefactorauthenticatie in, beperk inlogpogingen en wijzig eventueel de login-URL. Deze combinatie stopt 99% van de brute force attacks.
Moet ik betalen voor WordPress beveiliging?
Nee, de gratis versies van Wordfence en Limit Login Attempts Reloaded bieden al goede basisbescherming. Betaalde versies voegen real-time updates, priority support en extra features toe — nuttig voor bedrijfskritische sites.
Hoe vaak moet ik WordPress updaten?
Beveiligingsupdates direct, feature-updates binnen een week. Plugins en thema’s minimaal wekelijks controleren. Automatische updates voor minor releases zijn aan te raden.
Veelgestelde vragen
Sanne Verschoor
WordPress Developer bij OnlineLabs
Sanne Verschoor is WordPress developer bij OnlineLabs. Na een succesvolle carrièreswitch werkt zij met veel plezier en energie aan websites waar klanten trots op kunnen zijn.
Meer over Sanne→Vond je dit artikel nuttig?