De cijfers eerst
Wordfence-rapport 2025:
- WP-sites wereldwijd: ~810 miljoen actief
- Geautomatiseerde aanvallen per WP-site per maand gemiddeld: ~3.500
- Succesvolle breaches per jaar: ~3.2% wereldwijd, ~1.8% in NL (beter onderhouden)
- Gemiddelde breach-kosten voor MKB: €5.000-€15.000 (downtime + cleanup + reputatie)
Conclusie: niet trivial maar ook geen panic. Met basic security: kans op breach <1% per jaar.
De 5 echte risico's
1. Plug-in vulnerabilities (60% van breaches)
Verreweg de grootste bron. Een plug-in met een security-bug in code = directe toegang voor aanvallers. Voorbeelden 2025: Elementor Pro CVE, WPCode CVE, OptinMonster CVE.
Bescherming:
- Plug-in-aantal beperken (minder = minder risico)
- Plug-ins binnen 48u updaten na release security-patch
- EOL-plug-ins direct verwijderen of vervangen
- Wordfence Premium-scan voor known-vulnerable plug-ins
2. Brute-force login-aanvallen (20% van breaches)
Aanvallers proberen duizenden username/password combinaties op `/wp-admin/`. Onschuldig als je sterke wachtwoorden hebt, gevaarlijk met `admin/password123`.
Bescherming:
- 2FA verplicht (Wordfence, Sucuri, of Google Authenticator plugin)
- Login-attempts-limiet (5 verkeerde = ban voor 30 min)
- Username niet `admin`
- wp-admin verplaatsen via plug-in (security through obscurity)
3. Verouderde core/PHP (8% van breaches)
WordPress core voor versie 6.0 (Mei 2022): vermijden. PHP onder 8.1: vermijden. Verouderde versies hebben known-public exploits.
Bescherming:
- WP core auto-update voor minor versions (security-only)
- PHP-versie controleren via WP Admin → Site Health
- Bij hosting upgrade naar PHP 8.3 vóór EoL van 8.1 (Dec 2025)
4. SQL-injection (8% van breaches)
Plug-in of theme-code dat user-input niet sanitizet → aanvaller voert SQL-commands uit op database. Geeft volledige toegang.
Bescherming:
- Custom theme-code reviewen op `$wpdb->prepare()` gebruik
- Plug-ins van betrouwbare bronnen (WP.org, premium-vendors met track record)
- Web Application Firewall (Cloudflare WAF gratis tier of Sucuri €199/jaar)
5. Cross-site scripting / file uploads (4% van breaches)
Aanvaller injecteert JS-code via formulier of uploadt malicious file. Vooral risico bij oude form-plug-ins of file-upload-functionaliteit.
Bescherming:
- File-uploads beperken (alleen images, geen .php uitvoerbaar)
- WAF blokkeert known XSS-patterns
- Content Security Policy headers configureren
Wat NIET het belangrijkste risico is
Hype-marketing van security-bedrijven die je laten geloven:
- "AI-gestuurde aanvallen" — vooral marketing-term. AI helpt aanvallers, maar de aanvalsvectoren (plug-ins, brute-force) zijn dezelfde.
- "Ransomware op je website" — zeldzaam voor MKB. Ransomware-groepen richten op grotere targets (hospitals, gemeentes). MKB-sites worden eerder defaced of gebruikt voor spam/SEO-misbruik.
- "Zero-day exploits" — bestaan, maar treffen massa-targets, niet specifiek jouw MKB-site. Update-discipline binnen 48u dekt 99%.
- "State-sponsored aanvallen" — niet relevant voor MKB. Aanvallers willen massa-defacement of crypto-mining, geen specifieke targets.
Het minimum-security-pakket voor MKB
Wat we bij DesignCheck standaard inrichten voor WP-onderhoudsklanten:
- Wordfence Premium of Sucuri Basic (€100-€199/jaar)
- Beheerde hosting met geïntegreerde security (Kinsta, WP Engine, Hostinger Cloud — €15-€60/maand)
- Automatische dagelijkse backups + restore-test 1× per kwartaal
- 2FA voor alle wp-admin users
- Login-URL veranderd (niet /wp-admin)
- WP core auto-update voor minor versions
- Plug-in-updates binnen 48u na release
- Maandelijkse security-scan review
Totale kost: €600-€1.000 per jaar inclusief tijd. Bij DC-onderhoudspakket (€145-€225/maand): alles inbegrepen.
Wat als je site toch wordt gehackt
Realistisch scenario. Wat je doet:
- Dag 1: site offline halen (maintenance-mode). Backup van pre-hack moment activeren.
- Dag 2-3: forensische scan — wat is geïnjecteerd? Wat is gewijzigd? Wat is gestolen?
- Dag 4-5: cleanup — malicious code verwijderen, plug-ins updaten, passwords reset
- Dag 6: security-hardening — wat is veranderd om herhaling te voorkomen
- Dag 7: launch + monitoring extra alert
Kosten: €1.500-€5.000 voor cleanup + downtime-omzetverlies. Vandaar het belang van preventie.
Webflow + Astro — het verschil
Aanvalsoppervlak vergelijking:
- WordPress: wp-admin login + plug-ins + theme + database + custom code = 5 angles
- Webflow: Webflow account login (Webflow zelf bewaakt de rest) = 1 angle
- Astro static: niets om aan te vallen op de site zelf. Login is voor Git-repo (GitHub) = 1 angle, en die heeft enterprise-grade security.
Geen platform is 100% veilig. Maar de stap van WP naar Webflow/Astro betekent ~90% kleiner aanvalsoppervlak.
Security-zorgen over je WordPress? Bij DesignCheck Mijdrecht: gratis audit waar we je security-config testen + advies geven. Geen scare-tactics. Rebuild €3.995 naar Webflow/Astro of optimalisatie binnen WP. Verliescalculator rekent uit wat een hack je zou kosten in omzet + reputatie.
Gerelateerde artikelen
FAQ — WordPress security
Wordt mijn WordPress-site gehackt?
Wat kost goede WP-security per jaar?
Zijn Webflow/Astro veiliger?
Heb ik dure security-software nodig?
Waarom statische en headless stacks structureel veiliger zijn
Security is grotendeels een functie van aanvalsoppervlak. WordPress combineert vier aanvalsvlakken in één installatie: PHP-runtime, MySQL-database, wp-admin (publiek bereikbaar standaard), en de plug-in-laag waarin willekeurige derde-partij-code draait. Astro, Eleventy en Hugo halen die vier vlakken weg. Wat je deployed is pure HTML — geen interpreter die exploits kan draaien, geen database die geinjecteerd kan worden, geen admin-login die brute-force kan opvangen, geen plug-in die malware kan binnenlaten. Voor een aanvaller is er letterlijk niets om aan te vallen behalve de CDN-laag.
Webflow zet de logica in een gehoste runtime. De admin-laag zit achter Webflow's SSO en 2FA, niet op /wp-login.php die in elke wordlist staat. Plug-ins bestaan niet, integraties draaien extern. Het overgebleven risico is account-takeover (zorg voor 2FA en sterke wachtwoorden) en eventuele Webflow-platform-incidenten — die er in zeven jaar nul publiek-gerapporteerde zijn.
Next.js + headless CMS verkleint het aanvalsoppervlak ook drastisch. Geen plug-in-architectuur, dependencies via npm met geverifieerde versie-locking, en runtime alleen op edge of serverless waar het echt nodig is. Bij Vercel of Cloudflare zit de WAF al ingebouwd en gratis. Bij Sanity of Storyblok zit content achter een API met token-based auth — geen publieke admin om aan te vallen.
De vijf meest voorkomende WordPress-aanvalsvectoren in 2026
Wordfence en Sucuri publiceren elk kwartaal aanvalsstatistieken. De top vijf is al drie jaar stabiel.
Plug-in vulnerabilities (60%). Verreweg de grootste vector. Een plug-in met een SQL-injection, XSS of authentication-bypass — meestal in mindere-bekende plug-ins maar regelmatig ook in top-100. Patches komen pas dagen of weken later, en intussen scannen botnets het hele web op kwetsbare versies.
Theme vulnerabilities (12%). Vooral premium themes met meegeleverde plug-in-bundels (Revolution Slider was jaren een klassieker). Theme-updates worden vaker overgeslagen dan plug-in-updates omdat ze customisaties kunnen overschrijven.
Brute-force op wp-login.php (10%). Geautomatiseerd, 24/7, op elke WP-site ter wereld. Zonder rate-limiting of 2FA loopt het binnen weken op tot duizenden pogingen per dag.
Outdated core (8%). Sites die WP 5.x of ouder draaien zijn praktisch open. Patches voor CVE's komen, maar als jij niet update zit je vast in de kwetsbare versie.
Compromised admin-credentials (10%). Phishing, credential-stuffing of hergebruikte wachtwoorden. Eén gestolen admin-login en je site is van de aanvaller.
Bij Astro of Webflow vallen de eerste vier weg. Alleen credential-compromise blijft als reëel risico, en dat los je op met 2FA en sterke wachtwoorden — geen kost-effectieve aanval voor botnets die liever low-hanging fruit aanvallen.
- WP-core minstens binnen 14 dagen na release updaten
- Plug-ins met >90 dagen geen update: directe vervang-actie
- wp-admin verplaatsen of IP-whitelisten via .htaccess of plug-in
- 2FA op alle admin-accounts, geen uitzonderingen
- Brute-force protection (Wordfence, Limit Login Attempts) actief
- WAF op CDN-niveau (Cloudflare gratis tier minimaal)
- Database-prefix anders dan standaard wp_
- File-permissions correct (644 files, 755 directories)
- wp-config.php buiten webroot of met extra read-protectie
- SSL/TLS over hele site, met HSTS header
- Geen admin-account met username "admin" of "wpadmin"
- Off-site backups dagelijks, retentie minimaal 30 dagen
- Monitoring (uptime + integrity-check) actief, alerts naar e-mail
- Astro/Eleventy: dependency-scanning via GitHub Dependabot of Snyk
- Webflow: 2FA verplicht voor alle Workspace-members
Migratie als ultieme security-investering
De goedkoopste security-strategie op lange termijn is structureel: weg van het platform met het grootste aanvalsoppervlak. Een rebuild op Astro of Webflow kost €3.995-€9.500. Tegenover doorlopende WP-security-kosten (€600-€1.200 per jaar voor licenties plus uren) is dat binnen 4-7 jaar terugverdiend, met als bonus dat je nooit meer gehackt wordt door de typische WP-vectoren. Voor MKB-sites met gevoelige data (klantgegevens, formulieren, downloads) is dat een no-brainer.
Bij Keurmeesters speelde dit expliciet bij stack-keuze. Energielabel-bureau, dus klantgegevens en adressen door het hele proces. Een WP-site met WooCommerce-vorm zou onmiddellijk doelwit zijn geweest; een statische stack met externe form-handler heeft simpelweg geen weg naar binnen. Vier maanden live, nul incidenten, geen verlies aan tijd of vertrouwen.
Hoe statische sites omgaan met de attack-vectoren die WP-sites raken
Een directe vergelijking per aanvalstype maakt het verschil concreet. SQL-injection: Astro of Eleventy heeft geen database, geen kans. WordPress vraagt strakke plug-in-hygiëne en up-to-date core. XSS via plug-in: in moderne stacks importeer je code expliciet, geen runtime-injection. Bij WordPress haken plug-ins zich automatisch in op hooks zonder dat jij het ziet. Brute-force op admin: Webflow heeft 2FA-verplichtbaar en SSO, geen publieke /wp-login.php URL. File upload exploit: statische sites accepteren geen uploads van bezoekers. Cross-site request forgery: WP-applicatie heeft CSRF-token-handling per plug-in, statische sites hebben geen state-changing requests.
Cloudflare WAF op gratis tier voegt nog een laag toe voor wat overblijft (DDoS, bot-traffic, suspicious patterns). Geen aparte licentie nodig, geen plug-in om bij te houden. Voor MKB-sites is dat het complete security-pakket — niet vier plug-ins en weekly scans, maar één laag die structureel werkt.
De ironie van WordPress-security is dat de beste praktijken (whitelisting wp-admin, custom-prefix database, hardened wp-config) de complexiteit van WordPress nog verder verhogen, en daarmee meer onderhoudsruimte voor fouten introduceren. Statische stacks hebben dat probleem niet: je hardent door niet te bestaan op de plek waar aanvallers zoeken.
Wat zegt verzekeringen en compliance over WordPress in 2026?
Cyber-verzekeringen kijken sinds 2024 expliciet naar platform-keuze als risico-factor. Niet als directe weigeringsgrond, wel als premie-bepalende variabele. WP-sites met >20 plug-ins en zonder 2FA krijgen typisch 15-30% hogere premies dan vergelijkbare bedrijven op statische of gehoste platforms. Voor bedrijven die persoonsgegevens verwerken (klantenformulieren, downloads met e-mail-capture) telt dat aan.
AVG-compliance is op moderne stacks structureel eenvoudiger. Een statische site met externe form-handler (Tally, Formspree, beide met DPA) heeft geen onbedoelde PII-opslag in een WP-database. Je content-laag en je submissie-laag zijn structureel gescheiden. Bij audits is dat een argument dat snel duidelijk te maken is.
SOC 2 en ISO 27001 zijn relevanter geworden voor B2B-bedrijven. Webflow heeft beide; Sanity heeft beide; Vercel en Cloudflare hebben beide. WordPress.com Business heeft compliance, self-hosted WordPress niet automatisch — daar moet je eigen audit-trail opbouwen. Voor B2B-bedrijven met enterprise-klanten is platform-keuze daarmee ook een sales-factor: een grote klant vraagt om compliance-bewijs, en moderne stacks leveren dat sneller dan WordPress-installaties.
FAQ — security diep
Wat als ik AVG-/GDPR-data verwerk?
Wat doe ik als mijn WP-site gehackt is?
Geeft Webflow garantie op security?
Wat met formulieren bij statische sites?
Wat doe je vandaag?
Drie checks van vijf minuten elk. Open je WP-admin en controleer of 2FA aan staat. Tel hoeveel plug-ins er meer dan 90 dagen geen update hebben gehad. Test of wp-login.php publiek bereikbaar is zonder restricties. Eén "nee" op die drie is een directe security-actie. Drie keer "nee" is een acuut signaal voor een gratis audit — wij testen plug-in-vulnerabilities en config zonder dat je iets hoeft te installeren.
Door Twan van Hulst — DesignCheck. Laatst bijgewerkt 17 mei 2026.