Maak en hou je WordPress veilig
Belangrijk om volgen
(1) Werk je WordPress , thema’s en plugins direct bij zodra updates verschijnen, die dichten vaak al de belangrijkste beveiligingslekken.
(2) Gebruik altijd sterke, unieke wachtwoorden en een wachtwoordmanager zoals het gratis KeePass.
(3) Verander de standaard ‘admin’ gebruikersnaam en schakel eventueel 2FA in.
(4) Kies een hosting met SSL, bij een degelijke hoster is dit standaard en gratis.
(5) Plan minstens wekelijkse back-ups
(6) Vergrendel je wp-config.php
(7) Beperk gebruikersrechten tot wat noodzakelijk is.
(8) Installeer een security-plugin voor extra monitoring en stel IP-beperkingen in voor wp-admin.
Het Belang van Sterke en Unieke Wachtwoorden
Gebruik wachtwoorden van minimaal 12 tekens met een mix van hoofdletters, cijfers en speciale tekens of kies een passphrase van vier woorden. Vermijd hergebruik tussen sites en laat wachtwoorden genereren en opslaan door een passwordmanager zoals 1Password, Apple Passwords of KeePass. Combineer dit waar mogelijk met 2FA om te voorkomen dat een gelekt wachtwoord direct toegang geeft.
Dwing in je beleid af dat nieuwe accounts minimale lengte en complexiteit hebben, controleer wachtwoorden periodiek met diensten zoals “HaveIBeenPwned” om gelekte credentials te detecteren en stel accountblokkeringsregels in na meerdere mislukte inlogpogingen.
WordPress gebruikersrechten en toegang
Beperk rechten tot wat strikt nodig is: wijs rollen als ‘Editor’ of ‘Author’ toe in plaats van admin waar mogelijk en voer maandelijks een gebruikersaudit uit. Zet inactieve accounts snel op “Geen rol voor deze site” of verwijder ze, activeer 2FA voor alle accounts met schrijfrechten en gebruik een wachtwoordmanager voor unieke, lange wachtwoorden.
Standaard gebruikersnamen, waarom oppassen
Veel bots mikken standaard op gebruikersnaam “admin”; kies daarom een unieke, niet-voorspelbare admin-naam zodat aanvallers zowel gebruikersnaam als wachtwoord moeten raden. Maak eerst een nieuw admin-account met een onherkenbare naam, test volledige toegang en verwijder daarna het oude ‘admin’-account. Dit verkleint het succes van brute-force scripts en vermindert zichtbaar het aantal mislukte loginpogingen in je logs.
Maak admin-namen die niets met je bedrijfsnaam, medewerkers of e-mailprefixen te maken hebben; vermijd voornamen en functietitels. Gebruik wachtwoorden van 12+ tekens, koppel admin-accounts aan jouw e-mailadressen met 2FA en overweeg IP-whitelisting voor admin-toegang.
WordPress beveiliging met Plugins
Gebruik plugins en serverconfiguraties om meerdere verdedigingslagen toe te voegen: een firewall op applicatieniveau, regelmatige malware-scans, 2FA en beperkingen op loginpogingen. Controleer dat je plugins elkaar niet overlappen (bijvoorbeeld twee firewalls tegelijk) en stel automatische updates in waar mogelijk. Plan twee-wekelijkse back-ups met ten minste 30 dagen retentie en test herstelprocedures minstens eens per maand om te zorgen dat je snel kunt terugrollen na een incident.
Aanbevelingen voor Beveiligingsplugins
Overweeg Wordfence voor realtime firewall en malware-scans en Sucuri voor server-side WAF en monitoring. Er bestaan gratis versies die een goede start zijn van je beveiliging. Installeer ook zeker de BBQ Firewall en Loginizer plugin. .
Conclusie
Werk je WordPress, thema’s en plugins wekelijks bij; automatische updates dichten bekende lekken. Gebruik sterke, unieke wachtwoorden en een passwordmanager zoals 1Password of KeePass. Schakel 2FA in, verander de standaard ‘admin’ gebruikersnaam en beperk admin-rechten tot degene die ze echt nodig hebben. Stel dagelijkse backups in en bewaar ten minste 30 dagen; beveilig wp-config.php en schakel bestandbewerking uit voor extra bescherming.