Beveiligen WordPress site beste simpele tips veiligheid

Het beveiligen WordPress website is heel belangrijk. De beste basistips voor de veiligheid en beveiliging van je database en site die je zelf kan uitvoeren.

Logo cursus traing wordpress

Beveiligen WordPress site beste simpele tips veiligheid

Beste tips beveiligen en veiligheid WordPress website

De middelen die u beschikbaar heeft om te besteden aan WordPress voor uw website zijn enorm, of u nu een groot bedrijf bent of gewoon een eenvoudige blogger.

Aangezien de meeste aanvallen geautomatiseerd zijn door bots op zoek naar kwetsbaarheden, zijn veel van de bedreigingen hetzelfde. Hier zijn enkele WordPress veiligheidsmaatregelen die bloggers en kleine bedrijven met beperkte middelen gemakkelijk kunnen nemen.

Wat maakt je website onveilig?

Ik heb het voor je uitgezocht. Hieronder vind je de belangrijkste redenen waarom WordPress website gehacked worden:

1 Goede managed WordPress hosting

Een groter bedrijf met een verstandige setup zal shared hosting vermijden en dedicated server resources gebruiken voor hun hosting om te zorgen voor goede WordPress beveiliging.

Dit is hosting die de meeste mensen NIET gebruiken. Maar als je om je website geeft, moet je niet voor de goedkoopste webhosts gaan, bv. diegene die hosting aanbieden voor 1 of 2 euro per maand.

Goedkope webhosting bedrijven hebben één prioriteit: De servers draaiende houden. Dit is niet zo geweldig als het op het eerste gezicht klinkt. Dit betekent dat ze geen seconde nadenken over het afsluiten of zelfs van je WordPress website als het hen problemen oplevert – zoals veel verkeer.

Stel je voor uw site gaat viral of wordt vermeld op een grote website, een grote hoeveelheid van potentiële klanten komt lopen naar uw website … en het hosting bedrijf sluit het af.

De beheerders van algemene webhosts zijn zelden WordPress experts. Ze weten niet wat regelmatig gebruik is, welke mappen beschrijfbaar moeten zijn, en ze zullen absoluut niet de oorzaak vinden van een of andere fout op uw website.

Managed WordPress hosting

Er is een middenweg tussen deze opties: Managed WordPress hosting. Het kost een beetje meer dan de algemene, goedkope hosting, maar hun product is er niet alleen om een ruimte te bieden voor u om uw website. Hun product is er om ervoor te zorgen dat uw WordPress website soepel draait zonder problemen.

Sommige hosts verkopen je WordPress als een SaaS – wat betekent dat ze verkopen je een werkende WordPress website. Als er een probleem is met uw website, zij beschouwen het als een probleem met hun product en zal het dienovereenkomstig op te lossen.

Managed hosting zal meestal veel WordPress veiligheidsmaatregelen goed uitvoeren. Ze weten hoe WordPress werkt binnenstebuiten, en hebben ingesteld en afgestemd hun systemen speciaal voor WordPress.

Algemene informatie WordPress webhosting

webhosting met malware en cyberaanval bescherming

Neem webhosting die detecteert op en beschermd tegen malware en cyberaanvallen. Vrijwel alle bekendere en goedkopere webhosters gebruiken dit niet.

Bij mijn weten is het beste immunify360. Met deze software heb ik in het verleden geïnfecteerde websites helemaal schoon kunnen krijgen.

Waarom? Het kan toch ook met een plugin?

Om de volgende redenen:

  • De software die webhosters kunnen gebruiken is veel beter dan WordPress software en plugins als Wordfence.
  • Als je het doet hoef je het zelf niet te doen. Het is hun beroep en zijn er dagelijks mee bezig.
  • Daarnaast houdt je je website sneller als je geen extra plugin hoeft te installeren.

Nederlandse webhosters met immunify

Enkele voorbeelden van Nederlandse webhosters die standaard gebruiken als onderdeel van hun webhostingpakketten.

2 Houd WordPress, thema en plugins altijd bijgewerkt

En met alles, bedoel ik WordPress, plugins, thema’s, vertalingen, alles. Loop niet achter op een update. Soms maken auteurs niet meteen bekend of een update een beveiligingspatch bevat. Alles altijd bijgewerkt houden is echt belangrijk voor je WordPress .

Ook hier een kanttekening. Deze vlag gaat alleen op als je alleen goede geroutineerde plugins gebruikt. Als je kleinere plugins gebruikt die weinig updates hebben, kan het je hele site breken. Mijn advies is dan ook alle plugins die je niet nodig hebt te verwijderen. Dit kan je een boel ellende besparen.

Een managed hosting service kan voor updates zorgen, maar dat hoeft niet per se. Het hangt af van je contract/service. Soms kunnen updates van thema’s of plugins dingen kapot maken, en zij zullen daar niet verantwoordelijk voor zijn, dus laten ze het aan jou over.

Aangezien een plugin of thema met een ongepatcht, gepubliceerd beveiligingsprobleem veel erger is dan uw site breken, kun je autoupdates ingeschakeld houden. In feite zou ik liever willen dat mijn site onbeschikbaar wordt in plaats van open te blijven en hackers uit te nodigen. Cleanups zijn vervelend en tijdrovend om te doen, en het kan gemakkelijk zijn om een achterdeur te missen die door hackers is geïnstalleerd.

Hier is ook een generalisatie die de moeite waard is om over na te denken. Wanneer je overweegt of je een premium thema of plugin moet nemen of een gratis alternatief:

Commerciële auteurs leven van een goede reputatie en moeten fouten snel herstellen. Abonnementen zijn wat hen in leven houdt en heel belangrijk: gemotiveerd om hun product te blijven updaten. Je wilt waarschijnlijk niet werken met een plugin of thema van een maker die de plugin heeft verlaten en de motivatie verloren heeft om het bijgewerkt te houden.

Meer over WordPress updates

3 Neem een Web Application Firewall

Een WAF (Web Application Firewall) zit tussen het internet, waar soms vervelende mensen tussen zitten, en uw hosting server. Het filtert al het slechte verkeer eruit, verwijdert verkeer van agressieve bots en stopt denial of service-aanvallen tegen uw website.

WAFs komen traditioneel met een vrij hoog prijskaartje, maar er zijn een aantal betaalbare opties beschikbaar om u te helpen met uw WordPress beveiliging.

De goedkoopste optie zijn:

  • Sucuri is $9,99/maand
  • CloudFlare is $20/maand. CloudFlare heeft ook een gratis plan, dat u geen WAF geeft, maar toch een beperkte bescherming.

Ook hebben sommige webhosts een WAF inbegrepen in de hostingprijs. Vaak zijn dit gewoon ModSecurity regels die de top 10 OWASP bedreigingen uitfilteren. Zelfs als dit niet erg strakke regels zijn, zal het nog steeds nuttig zijn. Sommigen bieden je ook DDoS-bescherming.

Als je echt een krap budget hebt, raad ik je aan CloudFlare gratis te nemen en NinjaFirewall WP+ ($29,90/jaar) te gebruiken. Dit is een op PHP gebaseerde WAF die automatisch wordt opgenomen in alle verzoeken naar je website. De bescherming is beperkt, aangezien alle verzoeken PHP op je server zullen raken, maar het kan nog steeds zeer nuttig zijn en zal veel ongewenst verkeer wegfilteren. Ik heb het een jaar lang uitgeprobeerd op een website met 15.000 bezoekers per maand en het zag er goed uit.

4 Gebruik twee factor authenticatie voor WordPress login

Dit is een no-brainer. Iedereen zou absoluut 2FA (two factor authentication) moeten gebruiken. Het is gratis en helpt de beveiliging van WordPress enorm. Gebruik het gewoon.

2 factor authenticatie bestaat uit de factoren “iets wat je weet” (je wachtwoord) en “iets wat je hebt” bijv. je telefoon, een smartcard, of een dongle aangesloten op je computer.

Het is geen 100% vervanging voor sterke wachtwoorden, maar wel bijna. Als een aanvaller uw gebruikersnaam en wachtwoord heeft, zal hij nog steeds niet kunnen inloggen op uw website zonder bijvoorbeeld uw telefoon. Er zijn veel opties gratis beschikbaar voor bloggers en kleine bedrijven.

Welke 2FA-oplossing u ook neemt, zorg ervoor dat u uw herstelcodes ergens veilig opslaat. Bijvoorbeeld op een stuk papier dat u bewaart waar u ook uw andere belangrijke papieren bewaart of een wachtwoordprogramma. Dit maakt het leven makkelijker voor u als u uw hardware beveiliging verliest, of uw telefoon verandert als u een telefoon app gebruikt.

5 Maak regelmatig back-ups

Maak regelmatig back-ups. Hoe vaak? Zo zelden als de langste tijdspanne dat u het OK vindt om alles te verliezen wat er op uw website is gebeurd. Voor sommigen is dit elk uur. Voor anderen kan het eens in de veertien dagen zijn.

Bewaar de back-ups ergens offline. Als u uw moet terugzetten, is dat meestal omdat er iets ergs is gebeurd. Zoals je webhost die je hele site kwijt is, of je bent . Als u gehackt bent, kunt u de integriteit van alles wat op de site stond niet meer vertrouwen, inclusief back-upbestanden.

Alle goede backup plugins laten je een schema instellen voor je backups en een externe bestemming zoals Amazon S3 of Dropbox. Ik hou echt van BackupBuddy, maar het kost wat geld. Ik weet dat er goede, gratis alternatieven zijn, maar ik heb er niet veel ervaring mee. Als u aanbevelingen hebt, doe dat dan in de opmerkingen.

van Automattic kan realtime back-ups van uw site maken, waarbij een back-up wordt gemaakt van alle wijzigingen op uw website op het moment dat ze plaatsvinden.

Nu u regelmatig back-ups maakt, moet u ze van tijd tot tijd herstellen. U kunt dit op een andere site doen dan uw live site als u geen downtime wilt. Maar zorg ervoor dat je het doet. Dit is nodig om:

  1. Zorg ervoor dat de back-ups echt werken. Er zijn veel te veel gevallen waarin iemand probeerde een corrupte back-up terug te zetten of de back-up bevatte niet alles wat het had moeten bevatten. Zorg ervoor dat je niet in die situatie terechtkomt.
  2. Oefen hoe je een restore uitvoert na een ramp. Aan een back-up heb je niets als je niet weet wat je ermee moet doen. Het herstellen van een back-up kan een beetje technisch zijn, dus oefen om ervoor te zorgen dat u weet dat u het kunt doen. Ik zal je helpen beter te slapen.

Handleidingen WordPress back-ups

6 Gebruik geen beveiligingsplugin

Dit klinkt tegenstrijdig. Er is weinig dat een WordPress beveiligingsplugin doet, dat niet beter en beter gedaan kan worden op andere manieren. Beveiligingsplugin’s raken gebieden aan die niet zouden moeten worden aangeraakt door een plugin, en ze proberen veel te veel te doen. Wanneer een beveiligingsplugin een fout heeft in een functie die een anders onschadelijk gebied raakt, veroorzaakt het verschrikkelijke gevolgen.

Als u de 6 punten hierboven hebt behandeld, is er niet veel extra waarde die een “alles in één” beveiligingsplugin voor u zal doen. Er kunnen bepaalde functies zijn die je wilt, maar specifieke plugins doen dat meestal veel beter. Leer in plaats daarvan wat een beveiligingsplugin probeert te bereiken en onderzoek hoe het goed wordt gedaan.

Meer WordPress beveiligingstips

Meer WordPress beveiligingstips hebt die niet veel middelen vereisen:


Meer WordPress tips over je strategie en aanpak?

Meer WordPress tips hoe je je WordPress website het beste kan bouwen:


Meer weten over Beveiligen WordPress site beste simpele tips veiligheidof info?

Wil je meer weten? Veel lezers met interesse in Beveiligen WordPress site beste simpele tips veiligheid bekeken ook de onderstaande artikelen:


WordPress training onderhoud

De meeste problemen met WordPress sites en webshops ontstaan door een combinatie van factoren. Van webhosting tot de inrichting van je site. Ik heb de laatste 15 jaar vele WordPress websites vast zien lopen, langzaam of gehackt zien worden door de verkeerde aanpak.

Deze problemen, ellende en schade is te vermijden door de juiste aanpak en strategie. Het is even werk en vergt een investering in tijd, geld en energie maar daarna heb je gegarandeerd minder problemen, meer plezier, meer controle en een betere WordPress website.

WordPress training onderhoud en beheer

Leer hoe je WordPress websites beter kan beheren en beveiligen in de speciale onderhoudscursus:
WordPress training Onderhoud en beheer

WordPress Bootcamp

Leer hoe je je WordPress website of webshop sneller en gestroomlijnder kan bouwen in de WordPress Bootcamp:
Web-development in WordPress Bootcamp

Nog vragen over Beveiligen WordPress site beste simpele tips veiligheid?

Neem eventueel contact op met Arthur als je nog vragen hebt over onderhoud, beveiliging, Beveiligen WordPress site beste simpele tips veiligheid en WordPress sites en webshops.

WordPress expert

Arthur Wentzel, web-developer

06 20 83 05 83

Scroll naar boven