WordPress beveiligen:
de complete gids

Waarom een beveiligingsplugin niet genoeg is

Zoek op "WordPress beveiligen" en je vindt tientallen artikelen die allemaal hetzelfde zeggen: installeer Wordfence of Sucuri, gebruik sterke wachtwoorden, update je plugins. Die adviezen zijn niet fout. Ze zijn incompleet. Alsof je adviseert om je voordeur op slot te doen maar vergeet te vermelden dat het raam open staat, de achterdeur geen slot heeft en de muren van karton zijn.

Het probleem met beveiligingsplugins als enige verdediging is fundamenteel. Een WordPress plugin draait binnen WordPress. Het kan alleen beschermen tegen aanvallen die via WordPress binnenkomen. Maar een groot deel van de aanvallen richt zich op de lagen eronder: de webserver, PHP, de database, het besturingssysteem. Een plugin die binnen WordPress draait kan niet beschermen tegen een kwetsbaarheid in PHP zelf, een verkeerd geconfigureerde webserver of een database die publiek toegankelijk is via een subdomein.

De drie lagen van WordPress beveiliging

Effectieve beveiliging werkt op drie lagen die samen een verdediging in de diepte vormen:

• Laag 1: Server en infrastructuur — het besturingssysteem, de webserver, PHP, de database, firewalls, isolatie tussen websites. Dit is de fundering. Als deze laag zwak is, maakt het niet uit wat je in WordPress installeert.
• Laag 2: HTTP headers en transport — HTTPS, Content Security Policy, beveiligingsheaders die de browser instrueren hoe content moet worden behandeld. Deze laag beschermt je bezoekers en voorkomt een hele categorie aanvallen die plugins niet kunnen tegenhouden.
• Laag 3: WordPress zelf — hardening van de configuratie, het minimaliseren van het aanvalsoppervlak, sterke authenticatie, het blokkeren van misbruikte endpoints. Dit is waar plugins een rol spelen, maar lang niet de enige oplossing zijn.

De meeste artikelen behandelen alleen laag 3 en dan nog oppervlakkig. Wij behandelen alle drie de lagen grondig. Want beveiliging die alleen op de bovenste laag werkt is geen beveiliging. Het is een illusie van beveiliging.

Laag 2: HTTP beveiligingsheaders en Content Security Policy

HTTP beveiligingsheaders zijn instructies die je server meestuurt met elke pagina die wordt geladen. Ze vertellen de browser van je bezoeker hoe die de content moet behandelen: welke scripts mogen draaien, of de pagina in een iframe mag worden geladen, of de browser HTTPS moet afdwingen. Het zijn onzichtbare beveiligingslagen die een hele categorie aanvallen voorkomen, en ze worden door de meeste WordPress websites niet gebruikt.

Dit is geen obscure techniek voor beveiligingsexperts. Het zijn basale maatregelen die elke website zou moeten implementeren. Laten we ze een voor een doorlopen.

Content Security Policy (CSP): de belangrijkste header die bijna niemand gebruikt

Content Security Policy is de krachtigste HTTP beveiligingsheader die er bestaat en tegelijkertijd de meest verwaarloosde. Een CSP vertelt de browser exact welke bronnen (scripts, stylesheets, afbeeldingen, fonts, verbindingen) mogen worden geladen en van welke domeinen ze mogen komen. Alles wat niet in het beleid staat, wordt geblokkeerd.

Waarom is dat zo belangrijk? Omdat het de meest effectieve bescherming is tegen Cross-Site Scripting (XSS), een van de meest voorkomende aanvallen op websites. Bij een XSS aanval slaagt een aanvaller erin om kwaadaardig JavaScript in te voegen in een webpagina. Dat script wordt uitgevoerd in de browser van de bezoeker en kan sessiegegevens stelen, formulierdata onderscheppen, de pagina manipuleren of de bezoeker doorsturen naar een phishing site.

Met een goede CSP werkt die aanval niet, zelfs als de aanvaller erin slaagt om het script in te voegen. De browser weigert het script uit te voeren omdat het niet op de goedgekeurde lijst staat. Het is een beveiligingslaag die werkt onafhankelijk van wat er op de server gebeurt.

Een voorbeeld van een CSP header zoals wij die implementeren:

Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: blob:; font-src 'self' data:; connect-src 'self'; frame-src 'self'; base-uri 'self'; form-action 'self';

Wat dit beleid zegt:

• default-src 'self' — standaard mag alleen content van het eigen domein worden geladen.
• script-src 'self' — scripts mogen alleen van het eigen domein komen. Geen externe scripts van Google, Facebook, analyticspartijen of advertentienetwerken.
• style-src 'self' 'unsafe-inline' — stylesheets van het eigen domein plus inline styles (nodig voor veel WordPress functionaliteit).
• img-src 'self' data: blob: — afbeeldingen van het eigen domein, plus data URIs en blobs (voor bijvoorbeeld SVG icons en dynamisch gegenereerde afbeeldingen).
• connect-src 'self' — AJAX verzoeken en WebSocket verbindingen alleen naar het eigen domein.
• frame-src 'self' — iframes alleen van het eigen domein (of specifiek toegestane domeinen zoals OpenStreetMap).
• form-action 'self' — formulieren mogen alleen naar het eigen domein worden verstuurd. Voorkomt dat een aanvaller een formulier manipuleert om data naar een externe server te sturen.

Het probleem met de meeste WordPress websites is dat een strikte CSP niet werkt met Google Analytics, Facebook Pixel, Google Fonts, externe advertentiescripts en andere third party diensten. Je moet al die externe domeinen toevoegen aan je CSP, en dan verliest het beleid zijn kracht. Een website die privacy first bouwt, zonder externe scripts en tracking, kan een veel striktere CSP implementeren. Dat is precies wat wij doen.

Strict-Transport-Security (HSTS)

HSTS dwingt HTTPS af. Nadat een browser de HSTS header heeft ontvangen, weigert die browser gedurende de opgegeven periode (max-age) om de website via onversleuteld HTTP te laden. Zelfs als de bezoeker expliciet http:// typt. Zelfs als een aanvaller probeert een downgrade aanval uit te voeren (het verkeer terugschakelen van HTTPS naar HTTP om het te kunnen afluisteren).

Een goede HSTS header ziet er zo uit: Strict-Transport-Security: max-age=31536000; includeSubDomains. Dit vertelt de browser: onthoud voor een jaar dat deze website en alle subdomeinen uitsluitend via HTTPS bereikbaar zijn.

Zonder HSTS is je website kwetsbaar voor SSL stripping aanvallen, vooral op openbare wifi netwerken. Een aanvaller die het netwerk beheert kan het HTTPS verkeer onderscheppen en terugschakelen naar HTTP, waarna alle data onversleuteld over het netwerk gaat. HSTS voorkomt dat.

X-Content-Type-Options

De header X-Content-Type-Options: nosniff voorkomt dat browsers bestanden interpreteren als een ander type dan aangegeven. Zonder deze header kan een aanvaller een bestand uploaden dat eruitziet als een afbeelding maar eigenlijk een script is, en sommige browsers zullen het als script uitvoeren. Met nosniff respecteert de browser strikt het MIME type dat de server aangeeft. Een afbeelding is een afbeelding, niet een vermomd script.

X-Frame-Options

De header X-Frame-Options: SAMEORIGIN voorkomt dat je website in een iframe op een andere website wordt geladen. Dit beschermt tegen clickjacking: een aanval waarbij je website onzichtbaar wordt geladen in een iframe op een kwaadaardige pagina, en de bezoeker denkt dat die op de kwaadaardige pagina klikt maar eigenlijk acties uitvoert op jouw website (inloggen, wachtwoord wijzigen, bestelling plaatsen).

Referrer-Policy

De header Referrer-Policy: strict-origin-when-cross-origin controleert hoeveel informatie de browser meestuurt wanneer een bezoeker van jouw website naar een andere website navigeert. Zonder deze header stuurt de browser de volledige URL mee, inclusief eventuele gevoelige parameters (zoektermen, sessieparameters, interne paden). Met strict-origin-when-cross-origin stuurt de browser bij extern verkeer alleen het domein mee, niet het volledige pad.

Permissions-Policy

De Permissions-Policy header specificeert welke browser functies je website mag gebruiken. Je kunt hiermee expliciet aangeven dat je website geen toegang nodig heeft tot de camera, microfoon, locatie en andere gevoelige browser APIs. Ons beleid: Permissions-Policy: camera=(), microphone=(), geolocation=(), interest-cohort=(). Dat laatste, interest-cohort, blokkeert Google's FLoC (Federated Learning of Cohorts), een tracking mechanisme dat Google in Chrome heeft ingebouwd.

Waarom de meeste WordPress websites geen goede headers hebben

Het implementeren van beveiligingsheaders op een WordPress website is technisch niet moeilijk. Het kan via de webserver configuratie (.htaccess op Apache/LiteSpeed, nginx.conf op Nginx) of via een plugin. Maar er zijn twee redenen waarom de meeste sites het niet hebben:

Ten eerste: kennis. Veel webbureaus en freelancers die WordPress websites bouwen kennen deze headers niet. Ze installeren een theme, voegen plugins toe en leveren op. Server configuratie en HTTP headers vallen buiten hun expertise.

Ten tweede: incompatibiliteit met third party scripts. Zodra je Google Analytics, Facebook Pixel, Google Fonts, HotJar, een chatwidget of advertentiescripts gebruikt, moet je al die domeinen toevoegen aan je CSP. En elke externe dienst die je toevoegt, verzwakt je beveiligingsbeleid. Een website die afhankelijk is van tien externe diensten kan geen strikte CSP implementeren. Dat is een van de vele redenen waarom privacy first bouwen niet alleen beter is voor de privacy van je bezoekers, maar ook voor de beveiliging van je website.

Het probleem met Wordfence, Kadence Security en co.

Voordat we onze eigen oplossing presenteren, moeten we eerlijk zijn over wat de populaire beveiligingsplugins werkelijk doen — en niet doen.

Ze beveiligen niet wat het belangrijkst is

Wordfence, Kadence Security (voorheen Solid Security, daarvoor iThemes Security, daarvoor Better WP Security — vier keer hernoemd, zelfde product), Sucuri, All In One Security — ze delen allemaal dezelfde fundamentele beperking. Ze draaien binnen WordPress. Ze kunnen pas iets doen nadat PHP is geladen, WordPress is opgestart en de plugin zelf is geinitialiseerd. Op dat punt is een aanvaller die de server, PHP of de webserver als vector gebruikt al lang voorbij de "beveiliging" van de plugin.

Als je server geen website isolatie heeft (CloudLinux), geen WAF op serverniveau draait, een verouderde PHP versie gebruikt of geen HTTP beveiligingsheaders stuurt, verandert Wordfence daar niets aan. De plugin ziet die lagen niet eens. Het is alsof je een inbraakalarm installeert in een huis zonder muren.

De bloat die ze toevoegen

Dit is wat de meeste gebruikers niet beseffen: beveiligingsplugins zijn zelf een beveiligingsrisico. We hebben de broncode van alle drie de plugins gedownload en vergeleken. De cijfers spreken voor zich:

• Kadence Security Pro (iThemes/Solid): 126.182 regels eigen PHP code, 1.127 PHP bestanden, 8,6 MB download. Niet los verkrijgbaar — alleen als onderdeel van de Kadence Pro bundel voor $299 per jaar (unlimited sites).
• Wordfence: 75.380 regels eigen PHP code, 450 PHP bestanden, 8,1 MB download. $149 per jaar, per site. Vijf websites? $745 per jaar. De Pro versie bevat exact dezelfde codebase als de gratis versie — het verschil is 8 regels code. Je betaalt $149 om feature flags te ontgrendelen in code die al op je server draait.
• Zamok: 21.782 regels eigen PHP code, 416 PHP bestanden, 934 KB download. Gratis, voor altijd.

Zamok bevat bijna 6x minder code dan Kadence Security en 3,5x minder dan Wordfence — en doet meer, omdat het naast beveiliging ook SMTP e-mail, versleutelde backups, afbeelding optimalisatie, database tools en content duplicatie biedt. Elke regel code die je niet draait is een regel die niet kwetsbaar kan zijn, geen geheugen verbruikt en je website niet vertraagt.

Kadence Security heeft in zijn bestaan meerdere keren zijn eigen kwetsbaarheden geintroduceerd. Een beveiligingsplugin met beveiligingslekken — de ironie is pijnlijk maar het is de onvermijdelijke realiteit van een codebase van 126.000 regels die draait binnen WordPress.

Het verdienmodel: angst verkoopt

De gratis versies van deze plugins zijn ontworpen om je bang te maken. Rode waarschuwingen in je dashboard. "Kritieke beveiligingsproblemen gevonden!" Oplossing? Upgrade naar Premium.

• Wordfence Premium: $149 per jaar, per site. Heb je 5 websites? Dat is $745 per jaar. Voor een plugin die op serverniveau niets kan doen.
• Kadence Security (voorheen Solid Security, daarvoor iThemes Security, daarvoor Better WP Security): niet los te koop, alleen als onderdeel van de Kadence Pro bundel voor $299 per jaar (unlimited sites). Een plugin die vier keer van naam is veranderd en nu eigendom is van Liquid Web/Newfold Digital (USA).
• Sucuri: verkoopt naast de plugin hun eigen WAF/CDN dienst. De plugin is gratis, maar de daadwerkelijke bescherming zit achter een betaald abonnement.

En wat krijg je voor die $149 of $299 per jaar? Features die op een goed beveiligde server overbodig zijn: een firewall die je WAF al doet, malware scanning die Imunify360 al doet, brute force bescherming die je server al biedt. Je betaalt voor een duplicatie van beveiligingslagen die op serverniveau beter en sneller werken.

Daarbovenop verzamelen ze data. Wordfence stuurt "anonieme" gebruiksstatistieken. Kadence Security belt naar huis voor licentievalidatie. Sucuri wil dat je hun CDN/WAF dienst koopt. Het zijn bedrijven die geld verdienen aan de angst voor hacks — niet aan het daadwerkelijk beveiligen van je website.

Zamok: onze oplossing

Daar hebben we iets aan gedaan. We hebben Zamok gebouwd: onze eigen open-source WordPress beveiligingsplugin, gratis beschikbaar op wordpress.org. Zamok (Замок — betekent zowel kasteel als slot in het Oekraiens) is 100% gratis, heeft geen betaalde versie, verzamelt geen data en bevat geen tracking of telemetrie.

Zamok probeert niet je server te zijn. Het doet wat een WordPress plugin wel goed kan doen: WordPress zelf hardenen, het aanvalsoppervlak minimaliseren, authenticatie versterken en je admin ervaring verbeteren. Daarnaast vervangt het een hele stapel losse plugins — voor SMTP, backups, afbeelding optimalisatie, database tools en meer — waardoor je minder code draait, minder potentiele kwetsbaarheden hebt en je website sneller laadt.

Wat Zamok doet

Zamok is volledig modulair. Elke functie is een aparte module die je aan of uit kunt zetten vanaf een overzichtelijke admin pagina. Je gebruikt alleen wat je nodig hebt, de rest staat uit en verbruikt geen resources. De beveiligingsmodules:

• Tweefactorauthenticatie — TOTP authenticator app, e-mail codes of eenmalige backup codes. Afdwingbaar per gebruikersrol. Volledig self-hosted, geen externe diensten.
• Brute force bescherming — blokkeert IP adressen na herhaalde mislukte inlogpogingen met escalerende blokkadeduur: 1 uur, 6 uur, 24 uur, 1 week.
• IP banning — automatische banning van kwaadaardige IP adressen met escalerende duur (tot 7 dagen), handmatige bans, een allowlist en een volledige ban log. Geen permanente bans: alles verloopt en wordt automatisch opgeruimd.
• System hardening — server en bestandssysteem hardening via .htaccess: bescherming van systeembestanden, uitschakelen van directory browsing, blokkeren van PHP uitvoering in beschrijfbare directories.
• Gebruikersenumeratie blokkeren — blokkeert ?author=N en beperkt het REST API users endpoint.
• Admin creatie alerts — stuurt onmiddellijk een e-mail wanneer er een administrator account wordt aangemaakt of een gebruiker naar admin wordt gepromoveerd.

Debloat: minder code, minder aanvalsoppervlak

Naast beveiliging biedt Zamok uitgebreide debloat modules. Elke WordPress functie die je uitschakelt is code die niet meer draait, een endpoint dat niet meer bereikbaar is en een aanvalsoppervlak dat verdwijnt:

• XML-RPC uitschakelen — inclusief de X-Pingback header en pingbacks.
• REST API beperken — blokkeert REST toegang voor niet geauthenticeerde gebruikers.
• Application Passwords uitschakelen — sluit dit authenticatie oppervlak.
• Auteurarchief uitschakelen — retourneert 404, voorkomt enumeratie.
• Bestandseditor uitschakelen — de Theme/Plugin File Editor en de Site Editor.
• Kleinere componenten verwijderen — versie informatie, legacy meta tags, emoji scripts, frontend Dashicons, jQuery Migrate.
• Custom login URL — verplaatst de login pagina naar een aangepaste URL.
• Alleen e-mail login — beperkt inloggen tot e-mailadressen.
• Feeds uitschakelen — schakelt RSS, Atom en RDF feeds uit.
• Heartbeat control — schakelt de WordPress Heartbeat uit op de frontend en vertraagt het in de admin.
• Comments uitschakelen — schakelt het complete reactiesysteem uit, bestaande reacties blijven bewaard.
• Embeds uitschakelen — schakelt oEmbed auto-discovery en het embed script uit.
• Gravatars uitschakelen — stopt externe verzoeken naar gravatar.com.
• Strip Comment Author IP (AVG) — stopt het opslaan van IP adressen van reageerders.

Tools en utilities

Zamok vervangt ook een hele reeks losse plugins voor dagelijks beheer:

• SMTP e-mail — SMTP bezorging, geforceerd From adres en een volledige bezorglog met weergave, opnieuw verzenden en automatisch opschonen.
• Afbeelding optimalisatie — automatische conversie naar WebP met native WordPress beeldverwerking.
• Versleutelde backups — volledige site backup (bestanden + database) als versleuteld pakket met libsodium. Werkt op shared hosting, met optionele planning en SFTP push. Inclusief een standalone restore installer.
• Database tools — serialisatie veilige zoek en vervang, database opschonen (revisies, prullenbak, spam, verlopen transients, orphaned meta).
• Content duplicatie — pagina's, berichten, custom post types en taxonomie termen dupliceren met alle custom fields en ACF velden.
• SVG upload — SVG uploads met automatische sanitisatie.
• Media vervanging — vervang een mediabestand met behoud van dezelfde ID en bestandsnaam.

Op basis van geautomatiseerde benchmarks verlaagt Zamok admin laadtijden met 40-50%, database queries met 65-80% en geheugengebruik met 35-50% ten opzichte van de plugins die het vervangt.

Zamok vs Wordfence vs Kadence Security: de vergelijking

We hebben de broncode van alle drie de plugins gedownload en vergeleken. Hieronder staan de feiten.

Zamok bevat 3,5x minder code dan Wordfence en bijna 6x minder dan Kadence Security — en biedt meer functionaliteit. Het verschil: Zamok probeert niet je server te zijn. Het doet wat een WordPress plugin goed kan doen (hardening, authenticatie, debloat, tools) en laat de serverlaag over aan je server. Wordfence en Kadence proberen alles: firewall, scanner, hardening, monitoring. Het resultaat is een opgeblazen codebase die je website vertraagt en zelf een aanvalsoppervlak vormt.

Wachtwoorden: het menselijke beveiligingslek

Alle technische maatregelen in de wereld helpen niet als het wachtwoord van je admin account "Welkom2024!" is. Of als je hetzelfde wachtwoord gebruikt voor je WordPress admin, je e-mail, je hostingpanel en je bankrekening. Wachtwoorden zijn het punt waar technische beveiliging en menselijk gedrag samenkomen en waar het in de praktijk het vaakst misgaat.

Credential stuffing: waarom hergebruikte wachtwoorden gevaarlijk zijn

Credential stuffing is een aanval waarbij gelekte wachtwoorden van de ene dienst worden geprobeerd op andere diensten. Er zijn miljarden gebruikersnaam/wachtwoord combinaties gelekt via datalekken bij bedrijven als LinkedIn, Adobe, Dropbox en talloze andere diensten. Die gelekte combinaties worden gebundeld in databases die criminelen kopen en verkopen.

Een aanvaller hoeft niet te raden. Die pakt je e-mailadres uit een gelekt LinkedIn database, het wachtwoord dat daarbij hoort, en probeert dezelfde combinatie op je WordPress admin, je e-mail, je hostingpanel. Als je hetzelfde wachtwoord hergebruikt, is de aanvaller binnen zonder enige technische exploit. Zonder brute force. Zonder kwetsbare plugin. Gewoon inloggen met je eigen wachtwoord.

Dit is geen hypothetisch scenario. Het is een van de meest voorkomende manieren waarop websites worden gecompromitteerd. En het is volledig te voorkomen door voor elke dienst een uniek wachtwoord te gebruiken. Lees ons artikel over wachtwoorden en datalekken om te controleren of jouw gegevens al zijn gelekt.

Wachtwoordmanagers: de enige praktische oplossing

Een sterk, uniek wachtwoord voor elke dienst onthouden is onmogelijk. Daarom zijn wachtwoordmanagers essentieel. Een wachtwoordmanager genereert lange, willekeurige wachtwoorden voor elke dienst en slaat ze versleuteld op. Je onthoudt een master wachtwoord, de manager regelt de rest.

Het maakt niet zoveel uit welke wachtwoordmanager je kiest, zolang je er een gebruikt. Het verschil tussen "een wachtwoordmanager gebruiken" en "geen wachtwoordmanager gebruiken" is vele malen groter dan het verschil tussen de ene en de andere manager.

Twee factor als vangnet

Tweefactorauthenticatie is het vangnet voor wanneer je wachtwoord toch compromised raakt. Zelfs als een aanvaller je wachtwoord kent uit een datalek, kan die niet inloggen zonder de tweede factor. Combineer sterke, unieke wachtwoorden met 2FA en credential stuffing wordt praktisch onmogelijk. Dit geldt niet alleen voor WordPress maar voor elke dienst die 2FA ondersteunt.

Wat de meeste webbureaus overslaan

We scannen regelmatig websites van andere webbureaus en hun klanten met onze scanner. De resultaten zijn consistent: vrijwel geen enkel bureau implementeert alle beveiligingslagen die we in dit artikel beschrijven. Dit zijn de meest voorkomende hiaten:

Geen HTTP beveiligingsheaders

De overgrote meerderheid van WordPress websites die wij scannen heeft geen Content Security Policy, geen HSTS, geen X-Content-Type-Options, geen Referrer-Policy en geen Permissions-Policy. Soms staat er een enkele header, maar een volledig set is uiterst zeldzaam. Dit betekent dat de bezoekers van die websites niet beschermd zijn tegen XSS, clickjacking, MIME sniffing en SSL stripping aanvallen.

Plugin kwetsbaarheden als standaard

Net opgeleverde websites met bekende CVE's in plugins. Dit betekent dat het bureau standaard verouderde plugin versies installeert en na oplevering geen updates uitvoert. Elke klant die zo'n website ontvangt is vanaf dag een kwetsbaar voor bekende exploits.

Publiek toegankelijke gevoelige bestanden

WordPress readme.html en license.txt zichtbaar (versie informatie). wp-config.php backup bestanden in de webroot. Soms phpMyAdmin panels op subdomeinen, publiek toegankelijk, met database credentials die in wp-config.php staan. Dit zijn geen exotische problemen. Dit zijn basale beveiligingsfouten die met een paar regels server configuratie te voorkomen zijn.

Gebruikersenumeratie wijd open

Admin gebruikersnamen opvraagbaar via de REST API of via ?author=N. Gecombineerd met het ontbreken van brute force bescherming en 2FA maakt dit wachtwoordaanvallen triviaal.

Geen website isolatie

Veel budgethostingpartijen draaien honderden websites op dezelfde server zonder isolatie. Als een van die websites gehackt wordt, zijn potentieel alle andere websites ook kwetsbaar. Je website deelt letterlijk een server met de zwakst beveiligde site op die machine.

De rode draad in al deze bevindingen: het ontbreekt niet aan kennis die beschikbaar is. Het ontbreekt aan prioriteit. Beveiliging levert geen zichtbaar resultaat op. Een mooie homepage verkoopt. Een goed geconfigureerde Content Security Policy niet. Maar als het misgaat (en bij genoeg tijd gaat het altijd mis), is de schade vele malen groter dan de investering in goede beveiliging. Reputatieschade, dataverlies, AVG boetes, downtime, klanten die het vertrouwen verliezen.