Doorgaan naar inhoud

WordPress beveiligen: de complete gids

Joost Boer
Joost Boer · Laatste update: 24 februari 2026 · 7 min. leestijd

Dit artikel bevat affiliate links, maar onze tests zijn onafhankelijk. Meer hierover

Ontdek SailWP →

De meeste WordPress hacks zijn geen persoonlijke aanvallen. Het zijn geautomatiseerde scripts die het hele internet afstruinen op zoek naar bekende kwetsbaarheden. Je hoeft geen grote of belangrijke site te zijn om doelwit te worden.

Het goede nieuws: WordPress is in de kern een veilig platform. Het beveiligingsteam bestaat uit tientallen experts, en het CMS wordt gebruikt door een derde van het internet — inclusief grote bedrijven die met gevoelige data werken. De meeste succesvolle hacks zijn te wijten aan verwaarlozing: verouderde software, zwakke wachtwoorden, slechte hosting.

In deze gids lees je precies wat je kunt doen om je WordPress site te beschermen. We beginnen met de vijf maatregelen die de grootste impact hebben.

De 5 fundamenten van WordPress beveiliging

Door deze vijf dingen goed te doen ben je al beter beveiligd dan 99% van alle WordPress sites.

1. Kies webhosting die investeert in beveiliging

WordPress beveiliging begint bij de server. Een goede hosting provider heeft firewalls, malware scanning, automatische backups en up-to-date serversoftware. Een slechte host laat je met de problemen zitten — en rekent je honderden euro’s om het op te lossen.

Waar je op moet letten:

  • Automatische dagelijkse backups
  • Up-to-date PHP, MySQL en webserver software
  • Serverside firewalls en malware scanning
  • DDoS-bescherming (bij voorkeur via Cloudflare)
  • Gratis SSL-certificaat

Een van de veiligste Nederlandse hosts is Cloud86. Ze draaien LiteSpeed servers met ingebouwde beveiligingslagen en maken dagelijks automatische backups. Lees meer in onze Cloud86 review.

Bekijk ons volledige overzicht van de beste WordPress hosting providers voor meer opties.

2. Hou alle software up-to-date

Verouderde software is veruit de meest voorkomende oorzaak van WordPress hacks. WordPress zelf, je theme en je plugins krijgen regelmatig beveiligingsupdates. Als je die niet installeert, laat je de voordeur open staan.

Wat je moet updaten:

  • WordPress core — kleine beveiligingsupdates worden automatisch geïnstalleerd, maar grote versie-updates niet altijd
  • Themes — ook als een theme niet actief is, kan het kwetsbaarheden bevatten
  • Plugins — veruit de meest voorkomende ingang voor hackers

Je kunt automatische updates instellen voor al deze onderdelen. Het kleine risico dat er iets breekt weegt niet op tegen het risico van een verouderde plugin met een bekend beveiligingslek.

Verwijder ook themes en plugins die je niet meer gebruikt. Zelfs als ze uitgeschakeld zijn, blijven ze op je server staan en kunnen ze een kwetsbaarheid vormen.

3. Gebruik sterke wachtwoorden en twee-staps verificatie

Je WordPress site heeft meerdere ingangen: het dashboard, je hosting account, FTP, e-mail. Gebruik overal een uniek, sterk wachtwoord. Geen wachtwoord hergebruiken.

Een wachtwoordmanager maakt dit makkelijk. Je browser heeft er al een ingebouwd, of gebruik een dienst als 1Password of Bitwarden.

Zet daarnaast twee-staps verificatie (2FA) aan op je WordPress login. Zelfs als iemand je wachtwoord weet, komt hij er dan niet in zonder je telefoon. Plugins als Two Factor Authentication maken dit eenvoudig.

Gebruik ook nooit “admin” als gebruikersnaam. Dat is het eerste wat bots proberen bij een brute force aanval. Heb je dit nog staan? Maak een nieuwe admin gebruiker met een andere naam en verwijder de oude.

4. Installeer een beveiligingsplugin

Een goede beveiligingsplugin automatiseert veel van wat in deze gids staat: firewalls, login beveiliging, malware scanning en meer. Je hebt er maar een nodig.

Dit zijn de beste opties:

  • Wordfence — de populairste keuze. Uitgebreide firewall, malware scanner en login beveiliging. De gratis versie is al sterk.
  • Solid Security (voorheen iThemes Security) — gebruiksvriendelijk, goede basisbescherming, sterke brute force beveiliging.
  • Sucuri — combineert een plugin met een cloud-gebaseerde firewall (WAF). De betaalde versie is ideaal als je site eerder gehackt is.

Installeer er een, loop de instellingen door en laat de plugin het zware werk doen.

5. Maak regelmatig backups

Geen enkele beveiligingsmaatregel is waterdicht. Backups zijn je vangnet als het toch misgaat. Je wilt er minstens dagelijks een, en je wilt ze op meer dan een plek bewaren.

De meeste goede hosts maken automatisch dagelijkse backups en bewaren die 14 tot 30 dagen. Vertrouw hier niet blind op. Gebruik daarnaast een WordPress backup plugin die je backups naar een externe locatie stuurt (Google Drive, Dropbox, Amazon S3).

Goede gratis opties: UpdraftPlus en Duplicator.

Extra beveiligingsmaatregelen

Met de vijf fundamenten hierboven zit je al goed. De maatregelen hieronder voegen extra beschermingslagen toe.

6. Gebruik een SSL-certificaat

Een SSL-certificaat zorgt ervoor dat je site via HTTPS draait. Alle gegevens tussen je bezoekers en je site worden versleuteld verzonden: logingegevens, formulieren, betalingen.

In 2026 is HTTPS de absolute standaard. Browsers waarschuwen bezoekers actief als een site geen SSL gebruikt, en Google beschouwt het als een basisvereiste. Vrijwel alle hosting providers bieden een gratis SSL-certificaat aan via Let’s Encrypt.

Heb je nog geen SSL? Schakel het in via je hosting dashboard. Dat is meestal een kwestie van een knop aanzetten.

7. Verberg je login URL

Standaard is de WordPress loginpagina bereikbaar via /wp-admin of /wp-login.php. Iedere bot ter wereld weet dat. Door de login URL te veranderen maak je het bots en scripts een stuk lastiger.

Een gratis plugin als WPS Hide Login regelt dit in een paar klikken. Je kiest zelf een nieuwe URL, bijvoorbeeld /mijn-login.

8. Beperk gebruikerstoegang

Als je site meerdere gebruikers heeft, geef iedereen dan alleen de rechten die ze nodig hebben. Iemand die alleen artikelen schrijft hoeft geen administrator te zijn.

WordPress heeft verschillende rollen: Administrator, Editor, Auteur, Bijdrager en Abonnee. Gebruik ze bewust. En verwijder gebruikers die niet meer aan je site werken.

Publiceer artikelen bij voorkeur als Editor of Auteur, niet als Administrator. WordPress maakt auteurspagina’s aan met je gebruikersnaam in de URL — bij een admin account geeft dat hackers alvast de helft van je logingegevens.

9. Draai de nieuwste PHP-versie

PHP is de programmeertaal waar WordPress op draait. Elke PHP-versie krijgt twee tot drie jaar beveiligingsupdates. Daarna stoppen die en ontstaan er kwetsbaarheden.

De huidige stabiele versies zijn PHP 8.3 en 8.4. Draai je nog PHP 7.x of lager? Dan loop je een serieus beveiligingsrisico. Je kunt je PHP-versie controleren en aanpassen via je hosting dashboard.

Bijkomend voordeel: een nieuwere PHP-versie maakt je site ook merkbaar sneller.

10. Bescherm tegen DDoS-aanvallen

Bij een DDoS-aanval wordt je site overspoeld met nep-verkeer tot hij offline gaat. Het verschilt van een hack — er worden geen gegevens gestolen, maar je site is onbereikbaar.

Veel moderne hosts hebben ingebouwde DDoS-bescherming, vaak via Cloudflare. Biedt jouw host dit niet, dan kun je zelf een gratis Cloudflare account aanmaken en je domein erdoorheen laten lopen. Dat geeft je meteen ook een CDN en extra snelheid.

11. Gebruik alleen betrouwbare themes en plugins

Niet elke plugin of theme is betrouwbaar. Sommige worden door hobbyisten in elkaar gezet, een paar jaar onderhouden en dan verlaten. Vanaf dat moment worden ze een beveiligingsrisico.

Waar je op let:

  • Wanneer is de plugin voor het laatst bijgewerkt?
  • Is de plugin getest met de huidige WordPress versie?
  • Hoeveel actieve installaties heeft het?
  • Wie zit erachter — een team of een eenling?

Bekijk ons overzicht van de beste WordPress themes en beste WordPress plugins als je veilige keuzes zoekt.

12. Beveilig je eigen computer

Als je computer besmet is met malware, kan dat overslaan naar je site wanneer je inlogt of bestanden upload. Hou je besturingssysteem en browser up-to-date, wees voorzichtig op openbare wifi-netwerken en draai periodiek een virus scan.

Samenvatting

WordPress is veilig — zolang je het serieus neemt. De vijf fundamenten nog even op een rij:

  1. Kies veilige webhosting
  2. Hou alle software up-to-date
  3. Gebruik sterke wachtwoorden en twee-staps verificatie
  4. Installeer een beveiligingsplugin
  5. Maak regelmatig backups

Hiermee is je WordPress site al veiliger dan het overgrote deel van het internet. Volg de extra maatregelen in dit artikel en de kans op problemen wordt verwaarloosbaar klein.

Klopt dit nog?

Help ons deze pagina actueel te houden

Bedankt voor je feedback!

Joost Boer
Joost Boer
Joost is sinds 2014 aan het ondernemen. Op Start24 deelt hij zijn praktische ervaring met WordPress, webhosting en het bouwen van winstgevende websites. Hij test alle techniek zelf, zodat jij altijd de beste keuze maakt voor jouw project.
JoostBot
JoostBot
Getraind op 300+ artikelen
Stel een vraag over hosting, WordPress of het maken van een website.
JoostBot denkt na...
JoostBot