Leestijd: 7 minuten
Laten we eerlijk zijn: de meeste ondernemers denken niet na over de beveiliging van hun website. En dat is begrijpelijk. Je hebt het druk met klanten, offertes en groei. Maar terwijl jij bezig bent met ondernemen, wordt jouw WordPress-site gemiddeld 2.800 keer per dag gescand door geautomatiseerde bots die op zoek zijn naar zwakke plekken.
Dat is geen overdrijving. Uit cijfers van Wordfence (een van de grootste WordPress-beveiligingspartijen) blijkt dat er in 2025 dagelijks meer dan 100 miljard kwaadaardige verzoeken werden geblokkeerd op WordPress-sites wereldwijd. En dat aantal groeit.
De meeste aanvallen zijn niet persoonlijk. Niemand heeft het specifiek op jou gemunt. Het zijn scripts die het hele internet afspeuren naar bekende kwetsbaarheden. Een verouderde plugin hier, een zwak wachtwoord daar. En voor je het weet staat er een Russische goksite op je bedrijfspagina.
WordPress draait op ruim 43% van alle websites ter wereld. Dat maakt het de populairste keuze, maar ook het grootste doelwit. Vergelijk het met woninginbraken: inbrekers focussen op de meest voorkomende slottypen, niet op de zeldzame.
Dat betekent niet dat WordPress onveilig is. Het CMS zelf is goed onderhouden en wordt regelmatig bijgewerkt. Maar de combinatie van duizenden plugins, thema’s van wisselende kwaliteit en gebruikers die updates uitstellen, creeert een aanvalsoppervlak waar criminelen dankbaar gebruik van maken.
De drie meest voorkomende oorzaken van gehackte WordPress-sites zijn verrassend saai:
Het goede nieuws: al deze problemen zijn eenvoudig te voorkomen.
Benieuwd hoe jouw website scoort?
Wij checken meer dan 40 punten op je site, waaronder AI-vindbaarheid en beveiliging. Start je gratis Fyrst Insight scan
Dit is de belangrijkste stap en tegelijk de meest verwaarloosde. WordPress, je thema en al je plugins moeten up-to-date zijn. Niet volgende maand, niet als je er een keer aan denkt, maar structureel.
De meeste updates bevatten beveiligingspatches voor ontdekte kwetsbaarheden. Zodra een kwetsbaarheid publiek bekend wordt, gaan aanvallers er actief naar op zoek. Het verschil tussen een veilige en een gehackte site is vaak letterlijk een paar dagen uitstel.
Tip: schakel automatische updates in voor kleine releases en beveiligingspatches. Voor grote updates is het verstandig om eerst een backup te maken.
“Welkom2026” is geen goed wachtwoord. “Admin123” ook niet. En nee, je bedrijfsnaam met een uitroepteken erachter telt ook niet mee.
Gebruik een wachtwoordmanager (zoals Bitwarden of 1Password) en genereer voor elke login een uniek wachtwoord van minimaal 16 tekens. Klinkt overdreven, maar het kost je precies nul moeite als je een wachtwoordmanager gebruikt.
Tweestapsverificatie (2FA) voegt een extra laag toe bovenop je wachtwoord. Zelfs als iemand je wachtwoord raadt, komen ze nog niet binnen zonder die tweede factor (meestal een code op je telefoon).
Dit is een van de meest effectieve beveiligingsmaatregelen die er bestaan, en het kost je bij het inloggen misschien tien seconden extra. Plugins als Wordfence of WP 2FA maken het instellen eenvoudig.
Een goede backup is je verzekeringspolis. Als alles misgaat (hack, foutieve update, servercrash), kun je je site herstellen naar een werkende versie.
Belangrijk: sla backups niet alleen op dezelfde server op als je website. Gebruik een externe locatie zoals Google Drive, Dropbox of een dedicated backup-dienst. UpdraftPlus is een solide gratis optie die dit automatisch regelt.
Elke plugin die op je site staat, actief of niet, is een potentieel beveiligingsrisico. Heb je een plugin geinstalleerd om iets uit te proberen en gebruik je hem niet meer? Verwijder hem. Niet deactiveren, verwijderen.
Hetzelfde geldt voor ongebruikte thema’s. Houd je actieve thema en maximaal een standaard WordPress-thema als fallback. De rest kan weg.
Standaard kun je onbeperkt proberen in te loggen op een WordPress-site. Dat is een uitnodiging voor brute-force aanvallen, waarbij een script duizenden wachtwoordcombinaties probeert.
Beperk het aantal inlogpogingen tot bijvoorbeeld vijf per uur. Na vijf mislukte pogingen wordt het IP-adres tijdelijk geblokkeerd. De meeste beveiligingsplugins bieden deze functie standaard.
Een goede beveiligingsplugin combineert meerdere beschermingslagen: firewall, malwarescanner, inlogbeveiliging en monitoring. Wordfence (gratis versie is al uitstekend), Sucuri en iThemes Security zijn bewezen opties.
Kies er een en configureer hem goed. Dat is effectiever dan drie plugins half instellen.
De directe kosten van een gehackte website lopen uiteen van een paar honderd tot enkele duizenden euro’s voor het opschonen. Maar de indirecte kosten zijn vaak groter: verloren klantvertrouwen, downtime, gedaalde zoekposities (Google waarschuwt bezoekers actief voor onveilige sites) en in het ergste geval een boete onder de AVG als klantgegevens gelekt zijn.
Voorkomen is in dit geval niet alleen beter dan genezen, het is ook vele malen goedkoper.
Is WordPress onveilig?
Nee. WordPress zelf wordt goed onderhouden en regelmatig bijgewerkt. De meeste beveiligingsproblemen ontstaan door verouderde plugins, zwakke wachtwoorden of onzorgvuldig beheer. Met de juiste maatregelen is WordPress net zo veilig als elk ander platform.
Welke beveiligingsplugin is het beste?
Wordfence is de meest gebruikte en biedt al in de gratis versie uitstekende bescherming (firewall, malwarescanner, inlogbeveiliging). Sucuri en iThemes Security zijn goede alternatieven. Kies er een en configureer hem grondig.
Hoe vaak moet ik updates draaien?
Beveiligingsupdates: zo snel mogelijk, liefst binnen 24 tot 48 uur. Functie-updates: wekelijks is een goed ritme. Maak altijd eerst een backup voor je een grote update uitvoert.
Mijn site is klein, ben ik dan ook een doelwit?
Ja. Geautomatiseerde aanvallen maken geen onderscheid tussen klein en groot. Ze scannen simpelweg het hele internet. Een kleine site met een verouderde plugin is net zo kwetsbaar als een grote site.
Wat moet ik doen als mijn site gehackt is?
Stap 1: neem contact op met je hosting of een beveiligingsspecialist. Stap 2: verander alle wachtwoorden. Stap 3: herstel een schone backup als die beschikbaar is. Stap 4: laat de site scannen op achtergebleven malware. Probeer niet zelf te “opschonen” zonder ervaring.
Kost websitebeveiliging veel geld?
De basismaatregelen uit dit artikel kosten niets tot weinig. Een wachtwoordmanager is gratis (Bitwarden) of een paar euro per maand. Wordfence heeft een sterke gratis versie. De grootste investering is je tijd, en dan praat je over een paar uur per jaar.
Lees ook:
Bij Fyrst scannen we meer dan 40 punten op je website, waaronder beveiliging, SSL, plugin-kwetsbaarheden en meer. Binnen een paar minuten weet je waar de risico’s zitten.
Start je gratis Fyrst Insight scan
Liever persoonlijk advies? Plan een kennismaking en we kijken samen naar je site.
Ontdek in een paar minuten waar jouw website kansen laat liggen.
Gratis Fyrst Insight