WordPress is het meest gebruikte CMS ter wereld — en daarmee ook een populair doelwit voor hackers. Dat betekent niet dat je website per definitie kwetsbaar is. Met de juiste maatregelen leg je een stevige basis die de meeste aanvallen buiten de deur houdt.
SSL: de minimale vereiste
Een SSL-certificaat zorgt voor een versleutelde verbinding tussen jouw server en de bezoeker. Zonder SSL markeert Google je site als onveilig, en browsers geven een waarschuwing voor je bezoekers zien. De meeste hostingproviders bieden gratis SSL via Let’s Encrypt. Er is geen reden om het niet te activeren.
Tweestapsverificatie op je adminpaneel
Het standaard WordPress-loginscherm is publiekelijk bereikbaar via /wp-admin. Bots scannen continu het web op zwakke wachtwoorden. Tweestapsverificatie (2FA) voegt een tweede laag toe: zelfs als iemand je wachtwoord heeft, kan hij niet inloggen zonder de tweede code. Plugins zoals WP 2FA of Wordfence maken dit eenvoudig in te stellen.
Overweeg ook om de login-URL te verplaatsen naar een aangepast adres. Dat alleen al vermindert het aantal brute-force pogingen drastisch.
Automatische backups
Geen enkele beveiliging is waterdicht. Backups zijn je vangnet. Stel automatische dagelijkse backups in en sla ze op buiten je eigen server — in de cloud of op een externe locatie. Als er iets misgaat door een hack, een update of menselijke fout, kun je binnen minuten herstellen.
Plugins zoals UpdraftPlus of WPvivid (wat wij zelf gebruiken) regelen dit volledig automatisch.
Updates: niet uitstellen
De meeste hacks maken misbruik van bekende kwetsbaarheden in verouderde plugins of thema’s — zie ook WordPress onderhoud voor de structurele kant hiervan. WordPress core, plugins en thema’s updaten zodra er een nieuwe versie uitkomt is een van de eenvoudigste en effectiefste beveiligingsmaatregelen die je kunt nemen.
Heb je een goed werkende site en ben je voorzichtig? Zet automatische updates aan voor kleine versies en controleer handmatig bij grote updates.
Sterke wachtwoorden en gebruikersbeheer
Gebruik lange, unieke wachtwoorden voor je WordPress-account en je hosting. Gebruik een wachtwoordmanager als je meerdere sites beheert. En geef medewerkers alleen de rechten die ze nodig hebben — niet iedereen hoeft administrator te zijn.
De basis is genoeg voor de meeste sites
Je hoeft geen beveiligingsexpert te zijn om je WordPress-site goed te beschermen. SSL, 2FA, automatische backups en up-to-date houden dekt het grootste gedeelte af. Wil je een stap verder gaan? Dan is een Web Application Firewall (WAF) via Cloudflare of een plugin zoals Wordfence een logische volgende stap.
Heb je vragen over de beveiliging van jouw site? Neem contact op — we kijken graag mee.