Is een beveiligingsplugin genoeg om WordPress te beschermen?

Een goede beveiligingsplugin helpt, maar is nooit genoeg op zichzelf. De belangrijkste bescherming is en blijft bijgewerkte software, sterke wachtwoorden met twee-factor-authenticatie en regelmatige back-ups. Een plugin vormt een extra laag, geen vervanging voor onderhoud.

Hoe weet ik of mijn WordPress-site gehackt is?

Veelvoorkomende signalen zijn onbekende beheerdersaccounts, vreemde omleidingen naar andere sites, spamteksten of links die je niet hebt geplaatst, een waarschuwing in Google of een plotseling veel tragere site. Bij twijfel is een scan en controle van de logbestanden de snelste manier om zekerheid te krijgen.

Mijn WordPress-site is gehackt, wat moet ik doen?

Breng de site zo snel mogelijk offline of in onderhoudsmodus, verander alle wachtwoorden en herstel vanuit een schone back-up van voor de hack. Daarna moet het lek gedicht worden, anders gebeurt het opnieuw. Neem bij twijfel direct contact op zodat de schade beperkt blijft.

Kost WordPress beveiligen veel geld?

De basis kost vooral aandacht, niet veel geld: updates, sterke wachtwoorden en back-ups. Bij WordPress Almelo zit beveiliging in het care-plan vanaf 20 euro per maand, en losse hardening of herstel na een hack gaat op offerte. Dat is bijna altijd goedkoper dan de schade van een gehackte site.

WordPress beveiligen: de complete gids

De meeste gehackte WordPress-sites zijn geen gericht doelwit. Ze worden gevonden door geautomatiseerde scripts die het hele internet afzoeken naar sites met een bekend, ongedicht lek. Deze gids legt uit hoe die aanvallen werken, welke beveiligingslagen echt verschil maken, en wat je doet als het tóch misgaat, zonder dat je er beveiligingsexpert voor hoeft te zijn.

Hoe WordPress-sites worden aangevallen

WordPress is het meest gebruikte website-systeem ter wereld, en dat maakt het aantrekkelijk voor aanvallers. Zij hoeven jouw site niet persoonlijk te kennen: zodra een kwetsbaarheid in een populaire plugin openbaar wordt, scannen geautomatiseerde bots massaal naar sites die die plugin draaien en nog niet bijgewerkt zijn.

De meest voorkomende routes

Verouderde plugins en thema's met een bekend lek dat niet gedicht is.
Zwakke wachtwoorden die via brute-force worden geraden op de inlogpagina.
Verlaten plugins die niet meer worden onderhouden en dus nooit een fix krijgen.
Onveilige hosting waar meerdere sites elkaar kunnen besmetten.

Het goede nieuws: bijna al deze routes sluit je met onderhoud en een paar basismaatregelen. Beveiliging en onderhoud zijn dan ook onlosmakelijk verbonden, zie de gids over WordPress-onderhoud.

De basis op orde: de grootste winst

Voordat je aan geavanceerde maatregelen denkt, moet de basis kloppen. Hier zit verreweg de meeste winst, en het kost vooral aandacht, geen geld.

Houd alles bijgewerkt

Een bijgewerkte site sluit de meeste bekende lekken automatisch. Dit is de belangrijkste beveiligingsmaatregel die er is. Lees ook WordPress veilig houden: de basis die elke site nodig heeft.

Sterke inlog en twee-factor

Gebruik lange, unieke wachtwoorden en zet twee-factor-authenticatie aan voor beheerders. Vermijd de standaard gebruikersnaam "admin". Hiermee maak je brute-force-aanvallen vrijwel kansloos.

Regelmatige, geteste back-ups

Een schone back-up is je vangnet als er ooit iets doorheen glipt. Bewaar back-ups buiten je hosting en test of je ze kunt terugzetten. Zie WordPress-backups maken.

Hardening: extra lagen

Als de basis staat, voeg je beveiligingslagen toe. Geen enkele laag is op zichzelf voldoende; samen maken ze het een aanvaller flink lastig.

Inlogbeveiliging: beperk inlogpogingen en verberg of verplaats de standaard inlogpagina.
Bestandsrechten en uitvoer: voorkom dat er code wordt uitgevoerd in mappen waar dat niet hoort, zoals de uploadmap.
Spamfilter: houd spam in reacties en formulieren buiten de deur. Zie WordPress-formulieren.
Minder plugins: elke plugin is een mogelijke ingang. Minder plugins is letterlijk een kleiner aanvalsoppervlak, zie te veel plugins en beveiligingsplugins.

Wil je dit als dienst geregeld hebben, dan valt dit onder WordPress-beveiliging.

Monitoring en vroege signalen

Hoe eerder je een inbraak opmerkt, hoe kleiner de schade. Monitoring let op verdachte inlogpogingen, gewijzigde bestanden en de bereikbaarheid van je site. Veelvoorkomende signalen dat er iets mis is:

Onbekende beheerdersaccounts of plugins die je niet hebt geïnstalleerd
Vreemde omleidingen of spamteksten op je pagina's
Een waarschuwing van Google of je browser dat de site onveilig is
Een site die plotseling veel trager is dan normaal

Wat te doen bij een hack

Raak niet in paniek, maar handel snel. Een gestructureerde aanpak beperkt de schade:

Beperk de schade: zet de site offline of in onderhoudsmodus.
Verander alle wachtwoorden: WordPress-beheerders, hosting, FTP en database.
Herstel vanuit een schone back-up van vóór de hack.
Dicht het lek: zonder dat gebeurt het opnieuw. Dit is de stap die vaak wordt overgeslagen.

Een uitgebreid stappenplan staat in WordPress gehackt, wat nu. Kom je er niet uit, neem dan zo snel mogelijk contact op.

Beveiligingschecklist

WordPress, thema en plugins altijd bijgewerkt
Sterke wachtwoorden en twee-factor voor beheerders
Regelmatige, geteste back-ups buiten de hosting
Inlogpogingen beperkt en spamfilter actief
Geen verlaten of ongebruikte plugins en thema's
Monitoring die je waarschuwt bij verdachte activiteit

Beveiliging is geen eenmalige klus maar een doorlopend proces, net als onderhoud. Een snelle site hoort daar overigens bij: lees verder in de gids over WordPress sneller maken.

Verder in de kennisbank: WordPress-onderhoud · WordPress sneller maken

WordPress beveiligen: de complete gids.