Security-updates MKB-website — wat is risico?

TL;DR 90% van WordPress-hacks komt door verouderde plugins. Een gehackte MKB-site kost gemiddeld €2.000-€8.000 om te herstellen (data + omzetverlies + reputatie). Bescherming: maandelijkse updates, beperkte plugins (max 10-12), HTTPS, sterk wachtwoord, 2FA op admin. Voor MKB die niet zelf onderhoudt: €95/maand bij ons is goedkoper dan één hack-recovery.

Hoe groot is het risico echt?

Cijfers uit Sucuri's annual report en Wordfence-data (gemiddeld 2024-2026):

43% van gehackte websites werd gehackt via verouderde plugin
10% via verouderde core (CMS zelf)
14% via zwak admin-wachtwoord
2% via gecompromitteerd hosting-account
Restant: phishing op admin-mail, supply-chain via packages, social engineering

Voor een MKB-site met WordPress: kans op infectie binnen 12 maanden ~5-8% bij onderhoud-onafhankelijke status. Klinkt klein. Maar als het gebeurt: pijnlijk en duur.

Wat gebeurt er bij een hack?

Drie typen aanvallen die wij in praktijk zien:

1. Defacement

Site verandert in propagandapagina of porno-redirect. Snel zichtbaar. Recovery: 1-3 dagen werk + reputatie-impact bij klanten die het zien.

2. SEO-spam-injectie

Gevaarlijker want onzichtbaar. Hacker plant verborgen links naar gok-sites, viagra-sites of phishing-pagina's. Bezoekers zien niets, Google ziet alles. Google-positie keldert. Soms wordt site geblacklist ("Deze site bevat malware"). Gemiddelde detectie-tijd: 6 weken. Recovery: 1-2 weken + maanden om in Google terug te komen.

3. Ransomware / data-encryptie

Vooral op slecht-onderhouden hosting. Hele site geëncrypt, hacker eist losgeld in bitcoin. Recovery zonder backup: data weg. Met backup: 2-4 dagen herbouw + downtime-omzetverlies.

Wat kost een hack écht?

Onze ervaring met 3 MKB-klanten in 2024-2025 die ons aangelijnd hebben voor herstel:

Hovenier (defacement): €1.800 herstel + 2 weken downtime + ~€2.400 gemiste leads. Totaal: ~€4.200.
Webshop boekhouder (SEO-spam): €3.200 herstel + 4 maanden Google-recovery + ~€8.000 omzetverlies. Totaal: ~€11.200.
Lokaal restaurant (data-encryptie zonder backup): €5.500 herbouw + verloren reserveringssysteem-data + reputatieschade. Totaal: ~€12.000+.

Gemiddeld: €2.000-€12.000. Versus jaarlijks onderhoud van €1.140 (basis bij ons) of zelfs €0 (eigen onderhoud, 1u/maand). Hack-recovery is altijd duurder dan preventie.

De 10 security-basics voor MKB

Auto-updates aanzetten op WordPress core (Settings → General). Voor minor versions altijd. Voor major: maandelijks handmatig.
Plugins maandelijks updaten en de inventaris beperken — max 10-12 actieve plugins.
Sterke admin-wachtwoorden (16+ tekens, password manager). Geen "admin"/"admin123".
2FA op admin-accounts via Google Authenticator. Plugin: Wordfence of WP 2FA.
SSL/HTTPS overal — standaard sinds 2020, maar nog steeds sites zonder. Gratis via Let's Encrypt.
Backups offsite — niet op dezelfde hosting. UpdraftPlus naar Google Drive werkt.
Beperkte file-permissions — geen 777 op uploads-folder.
Login-pogingen limiteren — Wordfence/Limit Login Attempts. 5 pogingen, dan IP-block.
Verwijder ongebruikte plugins en themes — ze worden niet meer geüpdatet maar zijn wel kwetsbaar.
Security-scan maandelijks — Wordfence gratis versie volstaat voor MKB.

WordPress vs alternatieven — security-perspectief

Niet alles is WordPress. Voor MKB die geen complexe CMS-behoefte heeft:

Astro / Next.js (statisch): geen database, geen plugins, geen runtime — geen aanvalsoppervlak. Wat wij standaard bouwen.
Webflow: security door host, geen DIY-onderhoud. Maar duurder per maand.
Squarespace / Wix: idem.
WordPress: krachtig maar high-maintenance.

Wij van DC bouwen meestal statisch (Astro). Reden #1 = security. Onze sites kunnen niet "gehackt" worden in de WordPress-zin omdat er niets om te hacken is. Sites bij ons sinds 2023: 0 incidents.

Wat te doen ALS het toch gebeurt

Stappen in volgorde:

Site offline halten — voorkomt verdere schade en bezoekers-blootstelling
Hosting-provider bellen — sommigen helpen met scan en quarantaine
Backup terugzetten van vóór de infectie (let op: niet automatisch — controleer timeline)
Alle wachtwoorden veranderen (admin, FTP, database, hosting)
Plugin/theme dat compromisse veroorzaakte verwijderen
Submit reconsideration request bij Google Search Console (bij blacklist)
Klanten informeren via mail (verplicht bij datalek >72u via AVG)

Of bel ons binnen 24u na detectie — wij doen recovery voor €450-€1.500 afhankelijk van scope. Geen jaar-contract nodig.

De economische berekening voor MKB

Stel je hebt 1 op 15 kans op een hack in 5 jaar. Verwachte kosten: 0.07 × €5.000 = €350/jaar.

Basis-onderhoudpakket bij DC: €1.140/jaar. Lijkt duurder dan risico.

Maar: onderhoudspakket dekt ook performance-checks, content-updates, broken-link-fixes, AVG-monitoring. Reken niet alleen security mee. Saldo: onderhoud verdient zich terug via meerdere kanalen. Reken door op verliescalculator.

Wat te kiezen voor MKB

Drie niveaus:

Zelf doen (€0/jaar): bovenstaande 10 basics + UptimeRobot. Werkt mits je consistent bent. Risico: vergeet je een maand, dan loop je in.
DC basis (€95/maand): wij doen security + uptime + performance + maand-rapport. Geen contract.
Statische rebuild (€3.995 eenmalig): migreer naar Astro/Next.js. Daarna geen WordPress-security-onderhoud meer nodig. Onze voorkeurs-route.

FAQ — security-updates MKB

Mijn hosting zegt "managed WordPress" — ben ik dan veilig?

Deels. Hosts updaten vaak core, maar niet altijd plugins. Vraag expliciet: doe je ook plugin-updates? Wordfence-scan? Backups offsite?

Kan een statische site écht niet gehackt worden?

Niet in de WordPress-zin (geen database, geen runtime). Wel kan je hosting-account gecompromitteerd worden — dus 2FA op je hosting blijft nodig. Aanvalsoppervlak: 95% kleiner.

Wat doet 2FA precies?

Naast je wachtwoord moet je een 6-cijferige code uit een app intoetsen. Voorkomt dat een gestolen wachtwoord direct toegang geeft. Verlaagt hack-kans ~95%.

Doen jullie ook losse hack-recovery?

Ja, ook voor sites die we niet zelf gebouwd hebben. €450-€1.500. Bel ons binnen 24u na detectie, dan beperken we de schade.

Door Lorenzo Ruisi — DesignCheck Mijdrecht. Laatst bijgewerkt 16 mei 2026.