WordPress Security voor beginners

Bijgewerkt op februari 3, 2022 - Rob Pugh

Of je nou een zakelijke site, een webwinkel of een hobbyblog lanceert, met WordPress heb je de flexibiliteit, gebruiksvriendelijkheid en geavanceerde functionaliteiten die ervoor zorgen dat je site een groot succes wordt.

Maar denk, voordat je live gaat, nog even na over de beveiliging. Door je site zoveel mogelijk te beschermen, houd je deze beveiligd tegen hackers en online voor je fans en klanten.

Waarom is beveiliging zo belangrijk?

Met je website vertel je je bezoekers wie je bent, welke content en diensten je aanbiedt en wat ze van jouw bedrijf kunnen verwachten. Het is dé plek om een geweldige eerste indruk achter te laten en vertrouwen en loyaliteit bij bestaande fans op te bouwen.

Daarom is het zo belangrijk dat je ervoor zorgt dat je website altijd online is. Als deze plotseling links naar malware bevat, na een hack erg langzaam functioneert of helemaal offline gaat, heeft dat grote invloed op je reputatie.

Als je site gehackt wordt, kun je inkomsten verliezen door minder weergaven, verkopen of advertentieklikken. Er kunnen kosten verbonden zijn aan het herstellen van je website. Je kunt ook een lagere positie krijgen in zoekmachines, soms zelfs permanent. Zorg er dus voor dat je website beschermd en beveiligd is om geld te besparen (en je reputatie te redden!)

Hoe worden WordPress-websites gehackt?

Google heeft onlangs een lijst vrijgegeven met de manieren waarop hacker vaak toegang krijgen tot websites. We gaan er een aantal in detail bespreken: 

Wachtwoorden die gevaar lopen

Brute force-aanvallen zijn een van de meest voorkomende manieren waarmee hackers toegang tot een site krijgen. Ze gebruiken bots om verschillende gebruikersnamen en wachtwoorden te proberen, wel duizenden combinaties per seconde, tot ze er uiteindelijk eentje vinden die werkt.

Onveilige plugins en thema’s

Zwakke plekken in plugins en thema’s zijn een redelijk eenvoudige manier voor kwaadwillenden om toegang te krijgen. Ontwikkelaars van thema’s van hoge kwaliteit brengen met regelmatige updates patches voor deze kwetsbaarheden uit, maar niet alle WordPress-gebruikers werken hun site regelmatig bij. Gratis (‘nulled’) versies van premium plugins en thema’s hebben vaak een zogenaamde ‘backdoor’ verwerkt in de code. Dit is een toegangspunt voor hackers om op afstand op je site in te loggen en daar te doen wat ze maar willen.

Zwak beveiligingsbeleid

Slechte beveiligingsmaatregelen, zoals gebruikers toegang geven tot je site die dat niet nodig hebben of zwakke wachtwoorden toestaan, maken het gemakkelijker voor mensen om toegang tot je site te krijgen. 

Waarom zou iemand een website hacken?

  1. Ze willen geld stelen. Ze willen mogelijk creditcardgegevens van klanten verzamelen of bezoekers doorsturen naar schadelijke websites om mensen op te lichten.
  2. Ze willen gegevens verzamelen. Ze verkopen mogelijk persoonsgegevens aan derden of gijzelen informatie en geven die pas terug tegen betaling.
  3. Ze willen je site offline halen. Hierbij speelt meestal een persoonlijk motief en dit is zelden een echte dreiging voor de doorsnee website-eigenaar.
  4. Ze willen je site vandaliseren. Ook dit is over het algemeen een persoonlijke vendetta. De hacker bekladt mogelijk de website van iemand waar ze iets tegen hebben om een statement te maken.
  5. Ze willen iemand anders aanvallen. Aanvallers kunnen je website gebruiken om malware en ransomware over het internet te verspreiden of je webserver gebruiken om iemand anders aan te vallen.
  6. Ze willen leren. Hackers moeten ook ergens op oefenen, toch? Ze kunnen je website gebruiken als oefenmateriaal voor een toekomstig groter en lucratiever doelwit.

Je WordPress-site beveiligen

1. Een hoogwaardige host kiezen

Je hostingbedrijf is je beveiligingspartner en het is belangrijk om er eentje te kiezen met een goede reputatie. Je krijgt waar je voor betaalt. Veel goedkopere hosts hebben geen sterke beveiligingsmaatregelen geïmplementeerd.

Maar hoe kom je erachter welke je wel moet kiezen? Hier zijn een aantal dingen waar je bij een veilige hostingprovider op moet letten:

  • Regelmatige back-ups die gratis zijn inbegrepen bij je abonnement of tegen een toeslag toe te voegen zijn.
  • SSL-certificaten die de gegevens van je sitebezoekers beschermen.
  • 24/7 ondersteuning voor als je site ooit gehackt wordt.
  • Een ingebouwde firewall die de bestanden en de database op je server beschermt.
  • Beveiligingsscans die je attenderen op verdachte code en activiteiten op je site.
  • Een goede reputatie. Beoordelingen en aanbevelingen zijn vaak de beste manier om de kwaliteit van een host te bepalen.

En denk eraan, een bedrijf met veel kennis van zaken en een sterke beveiliging is de extra kosten dubbel en dwars waard. Hier is een lijst met aanbevolen WordPress-hosts om je op weg te helpen.

2. Software up-to-date houden

De belangrijkste manier om je website beveiligd te houden is door je software regelmatig bij te werken: WordPress, thema’s en plugins. Nieuwe uitgaven bevatten vaak patches voor zwakke plekken in de beveiliging, dus hoe sneller je alles bijwerkt, hoe beter.

Je kunt beveiligingsrisico’s voor WordPress ook minimaliseren door te kiezen voor vertrouwde plugins die stabiel zijn en tegelijkertijd aan meerdere behoeften voldoen. Jetpack Security biedt bijvoorbeeld een compleet pakket met beveiligingstools voor WordPress aan die geïntegreerd is in een enkele Jetpack-plugin. Zo profiteer je van aanvullende functies zonder daarvoor meerdere plugins te hoeven installeren en meer risico op een aanval op je site te lopen.

3. Veilige gebruikersnamen en wachtwoorden aanmaken

Zorg ervoor dat hackers wachtwoorden en gebruikersnamen niet zomaar raden door unieke gebruikersnamen en veilige wachtwoorden te kiezen. Gebruik minstens 20 tekens, een hoofdletter, een kleine letter, een cijfer en een symbool. 

Als je een site voor meerdere gebruikers bouwt, zorg er dan voor dat ze allemaal de juiste rechten krijgen. Je wilt niet dat bijvoorbeeld je nieuwe stagiair toegang heeft tot hoofdbestanden en andere belangrijke gegevens. Hier is een goed artikel over gebruikersrechten voor WooCommerce. Veel van wat er in dit artikel besproken wordt, is ook van toepassing op andere sites. 

Als je een account aanmaakt voor een derde, zoals een ontwikkelaar, marketingbureau of medewerker van externe ondersteuning, zorg er dan voor dat de toegang wordt ingetrokken zodra hun werk erop zit.

4. Externe back-ups van je site instellen

Back-ups zijn essentieel om je content, harde werk en gegevens van klanten en bezoekers te beschermen. Welk probleem zich ook voordoet op je site, als je een volledige back-up bij de hand hebt, kun je je site snel weer online krijgen. 

Maar het is wel van belang dat je de juiste soort back-up kiest. Zorg er bijvoorbeeld voor dat je back-ups op een externe locatie zijn opgeslagen, in de cloud in plaats van op je server. Zo kan je een schone versie terugzetten zelfs als je geen toegang meer hebt tot je site of server.

Dat is precies waar Jetpack Back-up in uitblinkt. Alle back-ups worden op dezelfde servers opgeslagen als waarop ze back-ups van hun eigen site opslaan en ze maken daarnaast nog meerdere, versleutelde back-ups als extra beschermingslaag. 

Een Jetpack Back-up herstellen

Je kunt ook nog kiezen tussen twee opties: realtime en dagelijks. 

Realtime back-ups zijn de beste keuze voor webwinkels, ledenfora en websites die regelmatig worden bijgewerkt. Jetpack slaat een kopie van je site op elke keer wanneer er iets verandert: als er iets wordt verkocht, als een pagina wordt bijgewerkt of als er een opmerking wordt toegevoegd. Hierdoor verlies je geen enkele verkoop of informatie, wat er ook gebeurt.

Dagelijkse back-ups passen goed bij statische sites die niet continu worden bijgewerkt. Jetpack slaat je bestanden en database eens per dag op in plaats van bij elke wijziging.

Wat is het grootste voordeel? Jetpack is ontzettend eenvoudig om in te stellen en er is geen ingewikkelde serverconfiguratie voor nodig. Doorloop gewoon een paar eenvoudige stappen en vraag het weergaloze klantenondersteuningsteam van Jetpack om hulp als je die nodig hebt.

Je kunt de beste back-up-plugin voor WordPress gebruiken als opzichzelfstaande tool of als onderdeel van een volledig beveiligingspakket.

Ontdek de voordelen van Jetpack

Bekijk hoe Jetpack je WordPress-site beschermt, sneller maakt en laat groeien. Krijg tot 50% korting op je eerste jaar.

Abonnementen verkennen

5. Bescherming tegen brute force-aanvallen toevoegen

Brute force-aanvallen komen voor wanneer hackers bots gebruiken om duizenden combinaties van gebruikersnamen en wachtwoorden per seconde te proberen, net zo lang tot ze er eentje vinden die toegang geeft tot je site. Door deze aanvallen lopen niet alleen je sitegegevens risico, maar alles wordt ook ontzettend traag doordat je server overbelast wordt. 

Veilige inloggegevens helpen hier absoluut bij, maar de beste manier om dit soort aanvallen te voorkomen, is een tool die de aanval tegenhoudt. De gratis beschermingsfunctie tegen brute force-aanvallen van Jetpack blokkeert verdachte IP-adressen voor ze zelfs maar op je site belanden! 

het aantal geblokkeerde schadelijke aanvallen op een site: 14.989

Installeren kan haast niet eenvoudiger: je hoeft alleen maar de functie in te schakelen en je kunt het aantal geblokkeerde aanvallen direct op je dashboard zien. Hint: het gemiddelde is 5.193!

6. Op malware scannen

Als een hacker toch toegang weet te krijgen, wil je dat natuurlijk meteen weten zodat je kunt beginnen het probleem op te lossen. Immers, hoe langer je site offline of onveilig is, hoe meer schade je reputatie en gegevens oplopen. 

Jetpack Scan doorzoekt je site automatisch op malware, kwaadaardige en verdachte activiteiten en je wordt meteen op de hoogte gebracht als er iets gevonden wordt. Je kunt zelfs het merendeel van de bekende hacks met een enkele klik oplossen. Zo bespaar je tijd en geld. 

malwarescan die op een website draait

Je hoeft helemaal geen tijd te spenderen aan complexe technische taal ontcijferen: het dashboard van Jetpack Scan legt je alles uit in lekentaal en helpt je bij elke stap die je moet nemen. Je kunt het gewoon instellen en vergeten, en er gerust op zijn dat je website 24/7 gecontroleerd wordt. 

Meer informatie over onze tool Malwarescans voor WordPress.

7. Downtime-bewaking implementeren

Als je website offline gaat, of dat nou het resultaat is van een aanval of gewoon per ongeluk, moet je direct actie ondernemen. Maar je hebt de tijd niet om de hele dag je site te vernieuwen om te kijken of die wel werkt!

downtime-melding van Jetpack

De tool Downtime-bewaking voor WordPress van Jetpack waakt 24/7 over je site en stuurt je een melding zodra deze niet meer reageert. Je kunt dan het activiteitenlog gebruiken om precies te zien wat er wanneer mis ging, zodat je de juiste actie kunt ondernemen en je site binnen enkele minuten, in plaats van uren of dagen, weer online kunt krijgen.

8. Ongebruikte plugins en thema’s verwijderen

Hoe meer thema’s en plugins je op je site hebt geïnstalleerd, hoe meer mogelijkheden hackers hebben om daar gebruik van te maken. Hoewel plugins een geweldige manier zijn om extra functies aan je site toe te voegen, vergen ze wel enig onderhoud door ongebruikte plugins te verwijderen.

En eigenlijk hoef je geen aanvullende thema’s op te slaan, behalve een standaardthema om op terug te vallen wanneer je problemen met de site oplost. 

Bonus: je site kan ook sneller worden als je deze verwijdert!

9. Tweevoudige verificatie voor beheerders inschakelen

Tweevoudige verificatie is een erg effectieve manier om je inlogpagina te beschermen doordat hackers je wachtwoord en je fysieke apparaat nodig hebben, en die combinatie is zeer onwaarschijnlijk. Als een beheerder inlogt op je site moet diegene een eenmalige code invullen die naar hun telefoon wordt gestuurd.

Jetpack biedt deze functie gratis aan en is daardoor een eenvoudige manier om net even een stapje verder te gaan dan alleen een sterk wachtwoord. Heb je meerdere gebruikers? Je kunt gemakkelijk tweevoudige verificatie van hen vereisen.

10. Een WordPress-firewall instellen

Een WordPress-firewall bewaakt al het verkeer dat op je site komt en fungeert als barricade tegen hackers. Een goed hostingabonnement is inclusief firewall die je server beschermt, maar het is aan te raden er ook een specifiek voor WordPress te nemen. 

Een goede firewallplugin beschikt over een database aan informatie over kwaadaardige activiteiten, zoals met verdachte IP-adressen, schadelijke bots en verkeer dat gewoon ‘vreemd’ overkomt, en blokkeert deze voor er een aanval op je site kan plaatsvinden. Je kunt een paar van de populairste opties terugvinden in de WordPress-pluginrepository.

11. Je siteactiviteit in de gaten houden

Als je een logbestand hebt met daarin alles wat er op je website gebeurt, dan kun je deze eenvoudig doorlopen en alle verdachte activiteiten aanmerken. Als je site gehackt wordt, kun je ook heel gemakkelijk precies terugzien wanneer dit gebeurde, welke activiteit er was en welke account erbij betrokken waren.

activiteit die plaatsvond op een website

Het activiteitenlog voor WordPress van Jetpack houdt alle grote wijzigingen aan je site bij, van mislukte inlogpogingen en gepubliceerde pagina’s tot verwijderde plugins, bijgewerkte thema’s en veranderde instellingen. Bij elke gebeurtenis staat een tijdstempel, de gebruiker die de wijziging gedaan heeft en een beschrijving van wat diegene gedaan heeft. Je kunt zo deze informatie gebruiken om het probleem op te lossen of om te herstellen naar een back-up die gemaakt is voor het probleem zich voordeed. 

Wat gebeurt er als mijn WordPress-site niet veilig is?

De meeste aanvallers hebben niet specifiek jouw site als doelwit, maar zijn op zoek naar de site met de makkelijkste toegang. Dus als je WordPress-site niet voldoende beveiligd is, is het waarschijnlijker dat deze ten prooi valt aan een hacker. Uiteindelijk kan dat leiden tot:

  • een beschadigde reputatie. Als je site beveiligingswaarschuwingen uitgeeft, offline gaat of naar verdachte websites leidt, ziet dat er voor bezoekers niet erg betrouwbaar uit. Ze raken mogelijk het vertrouwen in je blog of bedrijf kwijt waardoor jij verkopen of advertentie-inkomsten misloopt.
  • gestolen klantgegevens. Als een hacker toegang heeft gekregen tot je eCommerce-winkel, dan kan deze persoonsgegevens verzamelen en die zelf gebruiken of ze doorverkopen aan derden.
  • beschadigde websitebestanden. Je kunt je websitebestanden deels of zelfs allemaal verliezen. En dan is al je harde werk, van misschien wel jaren, voor niets geweest!
  • verwijdering uit zoekresultaten. Als je site gehackt wordt, kan Google deze op een blocklist plaatsen en helemaal uit de zoekresultaten verwijderen.
  • misgelopen verkeer. Als je een lage positie hebt (of helemaal niet voorkomt) in de zoekmachines kan het verkeer van je site erg afnemen, en al helemaal als bezoekers ook weer weggaan na het zien van een beveiligingswaarschuwing.
  • verminderde advertentie-inkomsten. Advertentienetwerken willen niet dat de advertenties van hun klanten op onveilige sites staan. Dus als je site is gehackt, kan deze verwijderd worden uit advertentienetwerken en kan je site helemaal geweerd worden, waardoor je inkomsten uit advertenties sterk verminderen of helemaal opdrogen. Zelfs als je site niet verwijderd wordt uit de netwerken, zorgt verminderd verkeer voor een negatief effect op advertentieklikken.

Hoe weet ik of mijn WordPress-site gehackt is?

Het is soms moeilijk om na te gaan of je site gehackt is of dat er een ander probleem speelt. Maar dit zijn een aantal indicatoren van een gehackte site:

  • Er verschijnt een beveiligingswaarschuwing als je je website-URL probeert te laden.
  • Je beveiligingsplugins melden dat er een probleem is.
  • Je ontvangt van je host een e-mail over een probleem.
  • Je website verwijst door naar een hele andere pagina en je hebt de doorverwijzing niet zelf aangemaakt.
  • Je ziet vreemde code op je pagina’s of je site.
  • Je site is offline, maar dit kan ook een andere oorzaak hebben.
  • Advertenties op je site verwijzen door naar verdachte websites.
  • Je site laadt opeens heel langzaam of reageert op een andere manier vreemd.

Wat moet ik doen als mijn WordPress-site gehackt is?

Als je WordPress-site gehackt is, zijn er een paar stappen die je kunt nemen om de problemen op te lossen en je bestanden en database te herstellen:

  1. Onderzoeken wat er gebeurd is. Als je Jetpack gebruikt, bekijk dan het activiteitenlog om te zien wie er is ingelogd, wanneer dat is gebeurd en wat diegene gewijzigd heeft. Hiermee kun je gehackte accounts identificeren en uitzoeken welke bestanden getroffen zijn.
  2. Een malwarescan uitvoeren. Een tool als Jetpack Scan doorzoekt je websitebestanden op malware en andere tekenen van een hack. Als je de tool Malwarescans voor WordPress van Jetpack gebruikt, kun je de meeste problemen met een enkele klik oplossen.
  3. Een back-up terugzetten. Als je regelmatig back-ups maakt van je website, kun je je site herstellen naar een back-up van voor de hack. Als je Jetpack Back-up gebruikt, worden al je bestanden op een andere locatie opgeslagen dan je server, dus zouden ze geen gevaar moeten lopen.
  4. Alle wachtwoorden opnieuw instellen en verdachte gebruikers verwijderen. Stel alle wachtwoorden van je WordPress-site en hostingprovider opnieuw in. Als je verdachte gebruikersaccounts tegenkomt die je niet zelf hebt aangemaakt, verwijder deze dan.
  5. Een expert in websitebeveiliging inhuren. Als je de malware niet zelf hebt kunnen verwijderen of er gewoon zeker van wilt zijn dat je site veilig is, overweeg dan een beveiligingsexpert in te huren van een dienst als Codeable.
  6. Je plugins, thema’s en WordPress-versie bijwerken. Hierdoor worden kwetsbaarheden verholpen waar een hacker gebruik van zou kunnen maken.
  7. Je site opnieuw indienen bij Google. Als je site op een blocklist terecht is gekomen, gebruik je Google Search Console om een beoordeling aan te vragen en je site weer uit de lijst te verwijderen. 

Lees onze gids voor meer informatie over wat je moet doen als je site gehackt is.

Klaar voor lancering

Door vanaf het begin af aan werk te maken van een degelijke WordPress-beveiliging, maakt je site meer kans op succes en kun je deze de komende jaren veilig en efficiënt runnen. Denk eraan, sitehacks voorkomen is veel makkelijker dan ze oplossen als ze eenmaal zijn gebeurd.

Met het pakket Jetpack Security kun je het meeste op deze pagina binnen enkele minuten al van je lijstje afstrepen, zonder dat daar een ontwikkelaar of complexe installatie aan te pas komt. 

Ga aan de slag met de beste beveiligingsplugin voor WordPress.

Dit bericht werd geplaatst in Beveiliging. Bookmark de permalink .
Rob Pugh profile
Rob Pugh

Rob is the Marketing Lead for Jetpack. He has worked in marketing and product development for more than 15 years, primarily at Automattic, Mailchimp, and UPS. Since studying marketing at Penn State and Johns Hopkins University, he’s focused on delivering products that delight people and solve real problems.

Ontdek de voordelen van Jetpack

Bekijk hoe Jetpack je WordPress-site beschermt, sneller maakt en laat groeien. Krijg tot 50% korting op je eerste jaar.

Abonnementen verkennen

Heb je nog vragen?

Reacties zijn gesloten voor dit artikel, maar we zijn er nog steeds om je te helpen! Bekijk het ondersteuningsforum, waar wij graag al je vragen beantwoorden.

Ondersteuningsforum bekijken

  • Voeg je bij 25 andere abonnees

  • Door onderwerpen bladeren