RevealTheme logo

Handleiding · Bijgewerkt 2026

WordPress-beveiligingschecklist: 30 stappen die er echt toe doen

De meeste beveiligingsadviezen voor WordPress zijn generiek, alarmistisch en vergeten wat er echt toe doet. Deze checklist rangschikt de beveiligingsmaatregelen op werkelijke impact, gebaseerd op de echte aanvalspatronen die tegen WordPress-websites worden gebruikt (brute force, kwetsbare plugins, zwakke inloggegevens, verouderde cores).

De 5 essentiële: doe deze eerst

  1. Houd de WordPress-core, de thema's en de plugins bijgewerkt. Kwetsbare plugins zijn de aanvalsvector nummer 1. Activeer de automatische updates van minor-versies (WordPress 5.6+ doet dit standaard). Voor major-versies werkt u binnen 7 dagen na de release bij. Voor plugins activeert u de automatische update van de vertrouwde plugins; bekijk de release-opmerkingen van kritieke plugins handmatig.
  2. Gebruik sterke, unieke wachtwoorden voor elk WordPress-account. Vooral die van de beheerder. Gebruik een wachtwoordbeheerder (1Password, Bitwarden). Schakel de gebruikersnaam «admin» uit: maak een nieuwe beheerder aan en verwijder de oude.
  3. Activeer tweefactorauthenticatie. Gebruik Wordfence Login Security (gratis) of onze 2FA-QR-generator met een willekeurige TOTP-app. 2FA verslaat meer dan 99% van de credential-stuffing-aanvallen.
  4. Installeer een vertrouwde beveiligingsplugin. Wordfence (de gratis versie volstaat voor de meeste websites) of Solid Security. Stapel er niet meerdere: ze komen in conflict. De plugin beheert het limiet op inlogpogingen, de monitoring van de bestandsintegriteit en de malwarescan.
  5. Dagelijkse back-ups buiten de website. UpdraftPlus → Dropbox/Google Drive. Maak de back-up voordat u die nodig hebt. Test het herstelproces ten minste één keer.

De volgende 10: aanvullende maatregelen met hoge impact

  1. Forceer HTTPS. Let's Encrypt is gratis op elke moderne hosting. Leid HTTP om naar HTTPS op serverniveau.
  2. Wijzig het prefix van de databasetabellen. WordPress gebruikt standaard wp_; wijzig dit tijdens de installatie in iets aangepasts. Het voorkomt geen aanvallen, maar bemoeilijkt sommige aanvalspatronen.
  3. Schakel XML-RPC uit als u het niet gebruikt. XML-RPC is een veelvoorkomende amplificatievector voor brute force. Als u de mobiele app van Jetpack of remote publishing niet gebruikt, schakel het dan uit via .htaccess of een plugin.
  4. Beperk de inlogpogingen. Wordfence doet dit automatisch. Het voorkomt credential stuffing via brute force.
  5. Roteer de authenticatiesleutels/salts van WordPress. Gebruik onze WordPress-saltgenerator. Roteer ze na elk vermoeden van compromittering, na het verwijderen van een gecompromitteerde beheerder en routinematig elke 6-12 maanden.
  6. Gebruik SSH of SFTP om bestanden over te dragen, nooit kale FTP. FTP verzendt de inloggegevens in platte tekst.
  7. Beperk de toegang tot wp-admin per IP indien mogelijk. Als uw team vaste IP's gebruikt (kantoor, VPN), beperk wp-admin dan alleen tot die IP's. Via .htaccess of de Nginx-configuratie.
  8. Schakel bestandsbewerking uit in wp-config.php. Voeg toe: define('DISALLOW_FILE_EDIT', true); Het voorkomt dat aanvallers thema's/plugins vanuit het dashboard bewerken als zij een account compromitteren.
  9. Verberg het versienummer van WordPress. Verwijder de meta-tag generator. Het voorkomt geen aanvallen, maar vermindert de fingerprinting.
  10. Zet de bestandsrechten vast. Bestanden 644, mappen 755, wp-config.php 600. De meeste managed hostings doen dit automatisch; op een VPS configureert u het expliciet.

Afwerking: goed maar niet cruciaal

  1. Aangepaste inlog-URL (bijv. WPS Hide Login). Vermindert vooral de ruis van botverkeer; het is geen echte beveiliging.
  2. CAPTCHA op de inlogformulieren. Een lichte hindernis voor geautomatiseerde aanvallen.
  3. Schakel de uitvoering van PHP uit in /uploads/. Het voorkomt dat geüploade PHP-shells worden uitgevoerd.
  4. Gebruik de WAF van Cloudflare (gratis niveau). Het filtert kwaadaardig verkeer voordat het uw server bereikt.
  5. Stel een e-mailmelding voor de beheerder in voor plugin-/core-updates.
  6. Gebruik HSTS-preload om HTTPS op browserniveau af te dwingen.
  7. Schakel gebruikersenumeratie via de REST API uit (Solid Security of Wordfence regelen dit).
  8. Gebruik Content Security Policy (CSP)-headers.
  9. Schakel het bladeren door mappen uit (de meeste hostings doen dit standaard).
  10. Monitor de beschikbaarheid + integriteit met een externe dienst (gratis niveau van UptimeRobot + wekelijkse Sucuri SiteCheck).
  11. Beperk de gebruikersrollen tot het minimale privilege. De meeste medewerkers hebben geen toegang op editorniveau nodig.
  12. Versleuteling van de databaseback-ups (UpdraftPlus Premium biedt dit).
  13. Het hosten van afbeeldingen buiten het domein via een CDN (vermindert het aanvalsoppervlak).
  14. Periodieke beoordeling van het beveiligingsauditlogboek.
  15. Jaarlijkse penetratietest als de website aanzienlijke inkomsten genereert.

WordPress-beveiligingsmythes: sla ze over

Verschillende sterk aanbevolen «beveiligings»-maatregelen bieden minimale echte bescherming: (1) «De WordPress-versie verbergen»: het kennen van uw versie helpt gerichte aanvallen licht, maar de echte oplossing is bijwerken, niet verbergen. (2) «wp-config.php boven public_html verplaatsen»: levert in wezen nul beveiligingsvoordeel op; het bestand is al beschermd door .htaccess. (3) «De REST API uitschakelen»: breekt veel plugins en blokkeert weinig. Beperk in plaats daarvan specifieke endpoints. (4) «Meerdere beveiligingsplugins stapelen»: ze komen in conflict en overlappen. Eén vertrouwde plugin (Wordfence of Solid Security) dekt wat er drie zouden doen. (5) «wp-login.php hernoemen»: beveiliging door obscuriteit; aanvallers vinden de nieuwe URL makkelijk via redirects.

Als u bent gehackt: herstelchecklist

  1. Raak niet in paniek; verwijder niet meteen dingen. Maak eerst een momentopname van de huidige staat voor de forensische analyse.
  2. Haal de website offline (onderhoudsmodusplugin of .htaccess-redirect naar een statische pagina).
  3. Wijzig alle beheerderswachtwoorden en roteer de WordPress-salts.
  4. Audit de gebruikersaccounts: verwijder onmiddellijk de niet-herkende beheerdersaccounts.
  5. Scan op malware met Wordfence Premium of Sucuri.
  6. Vergelijk de huidige bestanden met een schone WordPress-download: de diff onthult de gewijzigde corebestanden.
  7. Controleer de databasetabel wp_options op onverwachte vermeldingen (bevat vaak geïnjecteerde JS).
  8. Herstel vanaf de meest recente schone back-up (hierom doen dagelijkse back-ups ertoe).
  9. Audit na het herstel elke plugin: verwijder de ongebruikte, werk ze allemaal bij en vervang die met publieke CVE's.
  10. Werk de WordPress-core bij naar de laatste versie.
  11. Schakel de website weer in en houd gedurende 30 dagen toezicht op herinfectie.
Genereer nu nieuwe WordPress-salts

Veelgestelde vragen

Is WordPress minder veilig dan andere CMS'en?
Niet inherent. De reputatie van WordPress als beveiligingsrisico komt voort uit twee factoren: het drijft 43% van het web aan, dus aanvallers richten zich erop; en gewone gebruikers installeren kwetsbare plugins zonder ze te auditen. Een onderhouden WordPress-website met geverifieerde plugins is net zo veilig als Drupal of Joomla. Een verlaten WordPress-website met 30 verouderde plugins is een gemakkelijk doelwit.
Heb ik een betaalde beveiligingsplugin nodig?
De meeste websites niet. Wordfence Free dekt wat 90% van de WordPress-websites nodig heeft: firewall, malwarescan, inlogbeveiliging, bestandsintegriteit. De Premium-versie voegt realtime dreigingsupdates toe (tegenover een vertraging van 30 dagen), blokkering per land en prioriteitsondersteuning: de moeite waard voor websites met echte inkomsten, optioneel in de overige gevallen.
Hoe vaak moet ik WordPress bijwerken?
Minor-versies (5.6.1 → 5.6.2): automatisch, onmiddellijk. Major-versies (5.x → 6.x): binnen 7 dagen na de release. Plugin-updates: wekelijkse controle; automatische update als u back-ups hebt; handmatige controle voor kritieke plugins (beveiliging, e-commerce, aangepaste code).
Wat is de meest voorkomende manier waarop WordPress-websites worden gehackt?
Kwetsbare plugins, verantwoordelijk voor ~55% van de succesvolle aanvallen op WordPress volgens de jaarverslagen van Wordfence. De code van de plugin zelf heeft een kwetsbaarheid die de aanvaller uitbuit. Mitigatie: houd de plugins bijgewerkt, verwijder de ongebruikte en installeer alleen plugins van vertrouwde ontwikkelaars.
Moet ik een hosting met ingebouwde WordPress-beveiliging gebruiken?
Managed WordPress-hostings (Kinsta, WP Engine, Pressable) bevatten WAF, malwarescan en automatische core-updates: aanzienlijke toevoegingen. Of die de premiumprijs rechtvaardigen, hangt af van uw verkeer en dreigingsprofiel. Voor een website van een klein bedrijf dekt een gratis Wordfence-installatie op shared hosting de meeste dreigingen.

Gerelateerde artikelen

Abonneer je voor updates

We verkopen je e-mailadres niet. We sturen geen spam.

© 2026 RevealTheme. All rights reserved.