Artikel

Website beveiliging voor mkb: de vier pijlers die je niet mag missen

HTTPS, regelmatige updates, back-ups en malware-scanning. Vier pijlers die elke zakelijke website nodig heeft, en waarom WordPress extra kwetsbaar is.

Kort antwoord
  • Website beveiliging staat op vier pijlers: HTTPS/SSL (verplicht voor Google-ranking en AVG-compliance), regelmatige updates van CMS, thema en plugins (96% van gehackte CMS-sites draait op WordPress, Sucuri 2023), dagelijkse back-ups op een externe locatie, en malware-scanning met snelle respons bij een incident.
  • Voor WordPress-sites is beveiliging bijzonder urgent: elke niet-bijgewerkte plugin is een potentiële aanvalsvector. Tools als Wordfence (gratis basisversie) en Sucuri (betaald, inclusief WAF) bieden actieve bescherming. Let's Encrypt levert gratis SSL-certificaten; Cloudflare voegt een DDoS-mitigatielaag toe.
  • Een beheerd care-abonnement neemt al deze taken van u over voor €39–€89 per maand inclusief hosting. Daarmee zijn updates, back-ups, SSL-verlenging en security-monitoring geregeld zonder dat u er naar om hoeft te kijken.
De vier pijlers

Waaruit bestaat goede website beveiliging?

Een veilige website is geen toestand, maar een doorlopend proces. Vier pijlers bepalen samen het veiligheidsniveau van uw zakelijke website.

1. HTTPS en een geldig SSL-certificaat

HTTPS versleutelt alle data tussen de browser van uw bezoeker en uw server. Zonder HTTPS toont Google Chrome de waarschuwing 'Niet veilig', met directe vertrouwensschade als gevolg. Zoekmachines ranken HTTPS-sites hoger dan HTTP-sites. Bovendien eist de AVG (GDPR) passende technische maatregelen voor persoonsgegevens: een contactformulier zonder HTTPS is een AVG-risico (Art. 32). Let's Encrypt biedt gratis SSL-certificaten die automatisch verlengen. Controleer altijd of het certificaat geldig is en niet verlopen.

2. Regelmatige updates van CMS, thema en plugins

Het Sucuri 2023 Hacked Website Threat Report toont dat 96% van gehackte CMS-websites op WordPress draait: niet omdat WordPress inherent onveilig is, maar omdat verouderde plugins en thema's bekende kwetsbaarheden (CVE's) bevatten die geautomatiseerde aanvallers actief scannen. Elke nieuwe plugin-release die een beveiligingsprobleem dicht, publiceert indirect een lijst van kwetsbare sites. Hanteer een vast updateritme: minstens tweewekelijks voor WordPress, direct bij kritieke patches. Voor maatwerk Next.js-sites geldt hetzelfde: npm-afhankelijkheden met bekende CVE's vereisen snelle updates.

3. Dagelijkse back-ups op een externe locatie

Een back-up die op dezelfde server staat als de website, is geen back-up: ransomware versleutelt beide tegelijkertijd. Goede back-ups zijn dagelijks, volledig (bestanden + database), opgeslagen op een externe locatie (cloud-opslag, aparte server), en aantoonbaar herstelbaar. Test het herstelproces minstens eens per kwartaal. Bewaar back-ups minimaal 30 dagen zodat u kunt terugkeren naar een schone versie van voor een besmetting die pas later wordt ontdekt.

4. Malware-scanning en incidentrespons

Proactieve malware-scanning detecteert besmettingen voordat bezoekers er last van hebben. Wordfence (WordPress) biedt een gratis scanner die bestanden vergelijkt met de officiële WordPress-repository. Sucuri SiteCheck is een externe scanner die de publieke uitvoer van uw site analyseert. Imunify360 biedt server-level bescherming bij managed hostingproviders. Stel altijd uptime-monitoring in (bijv. via UptimeRobot of Freshping, beide gratis basisversie) zodat u bij downtime direct een melding ontvangt, niet via een klant die uw site niet bereikt.

WordPress specifiek

Waarom WordPress extra kwetsbaar is, en hoe u het risico beheert

WordPress heeft wereldwijd een marktaandeel van circa 43% van alle websites (W3Techs, 2024). Dat maakt het een aantrekkelijk doelwit voor geautomatiseerde aanvallen die bekende kwetsbaarheden in plugins scannen. De risico's zijn goed beheersbaar met discipline: verwijder ongebruikte plugins en thema's (elk geïnstalleerd bestand is een aanvalsvector, ook als het gedeactiveerd is), gebruik alleen plugins met actief onderhoud en meer dan 10.000 actieve installaties, zet automatische updates aan voor WordPress core en beveiligingsupdates, voeg tweefactorauthenticatie toe aan het wp-admin-account, en verander de standaard inlog-URL (wp-login.php) om geautomatiseerde brute-force-aanvallen te verminderen. Overweegt u WordPress vanwege het grote ecosysteem maar wilt u minder beveiligingszorgen? Lees onze eerlijke vergelijking in het artikel over WordPress website laten maken: inclusief de voor- en nadelen van het platform.

Veelgestelde vragen

Veelgestelde vragen over website beveiliging

Is mijn website al beveiligd als de hostingprovider dat regelt?
Deels. Een goede hostingprovider regelt server-level beveiliging: firewalls, DDoS-mitigatie, serverupdates en infrastructuurmonitoring. Maar applicatielaag-beveiliging (uw CMS, plugins, thema, formuliervalidatie, uploadcontroles) is uw eigen verantwoordelijkheid. Een verouderde WordPress-plugin blijft kwetsbaar ongeacht hoe goed de server beveiligd is.
Hoe weet ik of mijn website gehackt is?
Signalen zijn onder meer: onbekende beheerdersaccounts, vreemde bestanden of scripts in de installatie, plots dalend verkeer (Google verwijdert besmette sites uit de index), een 'This site may harm your computer'-waarschuwing in Google, bezoekers worden omgeleid naar andere websites, of uw hostingprovider stuurt een misbruikmelding. Gebruik Sucuri SiteCheck (gratis) om de publieke uitvoer van uw site te scannen op bekende malwaresignaturen.
Wat kost website beveiliging in de praktijk?
Let's Encrypt SSL is gratis en automatisch. Wordfence basic is gratis; de betaalde versie (circa $119/jaar indicatief, controleer wordfence.com) voegt real-time regels toe. Sucuri's Website Security Platform kost indicatief $199–$499/jaar (controleer sucuri.net). Een beheerd care-abonnement bij Delahaye Solutions (€39–€89/mnd) dekt hosting, SSL, dagelijkse back-ups, beveiligingsupdates én uptime-monitoring in één vaste maandprijs.
Moet ik een SSL-certificaat kopen of kan het gratis?
Let's Encrypt biedt gratis, geautomatiseerd verlengbare SSL-certificaten die door alle moderne browsers worden vertrouwd. De meeste managed hostingproviders installeren Let's Encrypt automatisch. Voor organisaties die een extended validation (EV) of organisatievalidatie (OV) certificaat willen (zichtbaar in sommige browsers als bedrijfsnaamvermelding), zijn betaalde certificaten nodig. Voor de meeste mkb-websites is Let's Encrypt volledig afdoende.
Hoe vaak moet ik een back-up terugzetten testen?
Minstens één keer per kwartaal. Een back-up die u nooit getest heeft, is een back-up waarvan u niet weet of het herstel werkt. Test op een stagingomgeving: herstel de back-up, controleer of de site correct laadt, of de database intact is en of bestanden niet ontbreken. Documenteer het testresultaat met datum.

Wil je dat iemand anders dit regelt?

Met een Delahaye Care-abonnement hoeft u niet te weten hoe beveiliging werkt: we doen het voor u. SSL, updates, back-ups, monitoring. Plan een gratis gesprek.

Plan een gratis gesprek →

Gratis en vrijblijvend · Reactie binnen één werkdag · Vaste prijs vooraf, geen verrassingen