Customer Impact

Website & Development

WordPress beveiligen: 12 maatregelen tegen hacks (B2B-checklist)

TDK Tanguy De Keyzer Tanguy De Keyzer Oprichter & digitale strateeg · 27 juni 2026 · ◷ 6 min leestijd

WordPress beveiligen begint niet bij dure tools, maar bij een paar basics goed en consequent uitvoeren: alles up-to-date houden, sterke logins met twee-factor-authenticatie, een firewall en de juiste gebruikersrechten. WordPress draait ongeveer 42% van alle websites, en die populariteit maakt het een geliefd doelwit voor geautomatiseerde aanvallen. In dit artikel lopen we 12 concrete maatregelen door waarmee je een zakelijke WordPress-site (geen webshop) hardt tegen hacks, gegroepeerd van logins tot infrastructuur, met onderaan een checklist die je kunt afvinken.

Waarom wordt WordPress zo vaak aangevallen?

Niet omdat WordPress onveilig is, maar omdat het overal staat. Met een aandeel van rond de 42% van alle websites is het simpelweg het grootste doelwit, en aanvallers werken geautomatiseerd: bots scannen het hele web af op bekende lekken en zwakke logins.

Belangrijker nog is waar die lekken zitten. Uit het beveiligingsonderzoek van Patchstack over 2025 blijkt dat de overgrote meerderheid van de WordPress-kwetsbaarheden in plugins zit, een klein deel in thema’s, en vrijwel niets in de WordPress-core zelf. Met andere woorden: de core is doorgaans goed onderhouden, maar elke plugin en elk thema die je toevoegt is een extra deur die open kan staan. Veel van die kwetsbaarheden zijn bovendien zonder inloggen te misbruiken, wat ze ideaal maakt voor geautomatiseerde aanvallen.

De praktische conclusie voor een B2B-site: je hoeft geen security-expert te zijn, maar je moet de basishygiëne op orde hebben. Een gehackte bedrijfssite kost je niet alleen herstelwerk, maar ook vertrouwen bij precies de bezoekers die je in leads wil omzetten. Hoe je dat vertrouwen opbouwt lees je in vertrouwen wekken op je B2B-website.

Hoe beveilig je de logins?

De inlogpagina is de meest aangevallen plek van je site, dus daar boek je de snelste winst. Vier maatregelen:

  • Sterke, unieke wachtwoorden voor elk account. Gebruik een wachtwoordmanager zodat niemand terugvalt op “Bedrijfsnaam2025”. Hergebruikte wachtwoorden zijn de oorzaak nummer één van overgenomen accounts.
  • Twee-factor-authenticatie (2FA) op alle accounts. Dit is de belangrijkste enkele maatregel die je kunt nemen. Zelfs als een wachtwoord lekt, komt een aanvaller zonder de tweede factor (een code op je telefoon) niet binnen. Schakel het verplicht in voor iedere gebruiker met beheerrechten.
  • Beperk het aantal inlogpogingen. Standaard mag je oneindig vaak een wachtwoord proberen, wat brute-force-aanvallen uitnodigt. Een plugin of je firewall die na enkele foute pogingen blokkeert, sluit die deur.
  • Least-privilege gebruikersrollen. Geef niemand meer rechten dan nodig. Een redacteur die alleen blogs schrijft heeft geen beheerdersaccount nodig. Hoe minder admin-accounts, hoe kleiner het risico als er één gecompromitteerd raakt.

Overweeg daarnaast de standaard inlog-URL te verplaatsen of af te schermen. Het stopt geen gerichte aanval, maar het houdt het gros van de geautomatiseerde bots weg van je inlogpagina.

Hoe houd je plugins en updates onder controle?

Updaten is geen onderhoud dat je “ooit nog eens” doet, het is je belangrijkste verdediging. Omdat de meeste kwetsbaarheden in plugins en thema’s zitten, is bijwerken letterlijk het dichten van bekende gaten voordat een bot ze vindt.

  • Houd core, plugins en thema’s up-to-date. Zet beveiligingsupdates voor de core op automatisch. Voor plugins is een vast wekelijks of tweewekelijks moment vaak verstandiger dan blind alles automatisch updaten, zodat je een update eerst kunt testen op een staging-omgeving en niet wakker wordt met een kapotte site.
  • Schrap wat je niet gebruikt. Elke gedeactiveerde maar nog geïnstalleerde plugin of elk ongebruikt thema blijft een risico. Verwijder ze volledig. Minder code op je server betekent minder aanvalsoppervlak en meteen ook een snellere site.
  • Installeer alleen uit betrouwbare bron. Gebruik plugins uit de officiële directory of van bekende makers, met recente updates en een actief onderhoudsteam. Vermijd “nulled” (illegaal gekopieerde) premium plugins volledig: die zijn een klassiek bezorgkanaal voor malware.

Een site met vijftien half-onderhouden plugins is per definitie kwetsbaarder dan een strak gebouwde site met vijf goede. Bij een nieuwe website of redesign is een kritische blik op je pluginstack daarom een gratis beveiligingswinst.

Welke maatregelen horen op server- en infrastructuurniveau?

De laatste laag zit onder WordPress zelf: hosting, verbinding en bestandsrechten. Hier voorkom je dat een aanval die wel binnenkomt veel schade aanricht.

  • Zet een Web Application Firewall (WAF) ervoor. Een WAF filtert kwaadaardig verkeer (zoals bekende exploitpogingen en brute-force-bots) voordat het je site bereikt. Dit kan via een securityplugin of, vaak effectiever, op netwerkniveau bij je host of CDN.
  • Dwing HTTPS af op de hele site. Een geldig SSL-certificaat versleutelt het verkeer tussen bezoeker en server, beschermt ingevoerde gegevens en is intussen een basisverwachting voor elke zakelijke site. Zorg dat alles automatisch naar https doorstuurt.
  • Stel bestandsrechten correct in en schakel de ingebouwde bestandseditor uit. Met de juiste bestandsrechten kan een aanvaller geen bestanden overschrijven. Door de code-editor in het dashboard uit te zetten, voorkom je dat iemand die toch binnenkomt direct kwaadaardige code kan injecteren.
  • Kies hosting met beveiliging ingebouwd. Goede (managed) WordPress-hosting voegt serverbeveiliging, isolatie tussen sites, automatische updates en malwarescans toe. Dat scheelt je veel handwerk en sluit een laag af die je met plugins alleen niet bereikt.

Hoe zorg je dat je na een incident snel herstelt?

Geen enkele beveiliging is honderd procent waterdicht, dus de vraag is niet alleen of je een aanval tegenhoudt, maar ook hoe snel je herstelt. Twee maatregelen maken het verschil tussen een vervelend uurtje en een week stilstand:

  • Automatische, offsite back-ups. Maak dagelijks of wekelijks een back-up en bewaar die los van je server. Een back-up die op dezelfde gehackte server staat, is bij een aanval net zo goed verloren. Test af en toe of je een back-up daadwerkelijk kunt terugzetten.
  • Monitoring en malwarescanning. Laat een tool je site scannen op verdachte bestanden en ongewone wijzigingen, en stuur een melding zodra er iets afwijkt. Hoe sneller je een inbraak opmerkt, hoe minder schade. Veel hacks blijven juist lang onopgemerkt.

Deze vangnetlaag is ook wat een verstoring kort houdt als je technische wijzigingen doet, zoals bij een websitemigratie zonder rankingverlies.

De 12-punten WordPress-beveiligingschecklist

Werk deze lijst van boven naar onder af. De eerste punten leveren de meeste veiligheid per minuut werk op.

  1. Houd core, plugins en thema’s up-to-date en zet beveiligingsupdates voor de core automatisch aan.
  2. Verwijder ongebruikte plugins en thema’s volledig, niet alleen deactiveren.
  3. Installeer alleen plugins uit betrouwbare bron en vermijd illegaal gekopieerde premium plugins.
  4. Gebruik sterke, unieke wachtwoorden met een wachtwoordmanager.
  5. Schakel twee-factor-authenticatie in voor elk account met beheerrechten.
  6. Beperk het aantal inlogpogingen om brute-force-aanvallen te stoppen.
  7. Pas least-privilege toe: geef elke gebruiker alleen de rol die hij nodig heeft.
  8. Scherm je inlogpagina af of verplaats de standaard inlog-URL.
  9. Zet een Web Application Firewall voor je site, bij voorkeur op netwerkniveau.
  10. Dwing HTTPS af op de volledige site met een geldig SSL-certificaat.
  11. Stel bestandsrechten correct in en schakel de ingebouwde bestandseditor uit.
  12. Regel automatische offsite back-ups en monitoring, en test je herstel.

Wil je dit binnen een breder beeld plaatsen, lees dan de overkoepelende gids over een B2B-website laten maken. En omdat een snelle, schone site ook beter scoort, sluit deze aanpak naadloos aan op je WordPress SEO.

De korte samenvatting

WordPress beveiligen is geen kwestie van één magische plugin, maar van een handvol basics consequent volhouden. Houd alles up-to-date, beperk je pluginstack tot wat je echt gebruikt, zet sterke logins met twee-factor-authenticatie op, plaats een firewall ervoor en regel back-ups als vangnet. De meeste aanvallen zijn geautomatiseerd en zoeken het laaghangend fruit, dus wie de basics op orde heeft, valt al buiten de boot van het gros van de bots. Wij bouwen B2B-sites die niet alleen converteren maar ook onderhoudbaar en veilig blijven, met eerlijk advies over wat wel en niet de moeite loont. Geen webshop-beveiliging, maar een solide bedrijfssite die je leads oplevert in plaats van problemen.

Plan je gratis intake

Gratis website-scan

Geef je website in en krijg binnen enkele minuten een automatische scan met concrete technische en SEO-verbeterpunten. Geen verkooppraatje.

Waar mogen we je rapport naartoe sturen?

Je gegevens gebruiken we alleen voor je scan. Geen spam, uitschrijven kan altijd.

Gerelateerde dienst Webdesign & development →

Deel je website voor een gratis zichtbaarheidsaudit