Website Beveiliging Checklist: 10 Punten voor MKB

Elke dag worden er in Nederland websites gehackt. Niet alleen grote bedrijven. Juist mkb-websites zijn een doelwit: ze draaien vaak op verouderde software, hebben zwakke wachtwoorden en niemand kijkt mee.

Waarom dit urgent is

De cijfers liegen niet. 3 op de 4 Nederlanders had te maken met pogingen tot cybercrime, en 77% van het MKB kreeg in twee jaar minstens één keer te maken met cybercrime. De gemiddelde kosten per incident: €270.000. Op nationaal niveau kost cybercrime Nederland jaarlijks €10 miljard.

In 2024 werden er 37.839 datalekken gemeld bij de Autoriteit Persoonsgegevens — een record. En toch maakt slechts 29% van de MKB-bedrijven een risico-analyse. De meeste ondernemers weten niet eens waar hun kwetsbaarheden zitten.

Een gehackte website kost je klanten, reputatie en mogelijk een AVG-boete. De AVG schrijft in Artikel 32 voor dat je "passende technische en organisatorische maatregelen" moet nemen om persoonsgegevens te beschermen. Concreet vereist Artikel 32 pseudonimisering en versleuteling van gegevens, waarborging van vertrouwelijkheid, integriteit en beschikbaarheid, herstelvermogen bij incidenten en het regelmatig testen van je beveiligingsmaatregelen. Geen beveiliging is geen optie — de boetecategorie voor slechte beveiliging heeft een basisboete van €310.000, met een bandbreedte van €120.000 tot €500.000.

Het goede nieuws: de meeste beveiligingsproblemen kun je zelf fixen. Zonder technische kennis, zonder budget. Deze checklist bevat 10 concrete punten die je vandaag kunt controleren en verbeteren.

1. SSL-certificaat (HTTPS)

Een SSL-certificaat versleutelt het verkeer tussen je website en de bezoeker. Zonder SSL kan iedereen op hetzelfde netwerk meelezen: wachtwoorden, formuliergegevens, betaalinformatie.

Controleer:

• Staat er een slotje in de adresbalk van je browser?
• Begint je URL met https:// en niet http://?
• Wordt http://jouwsite.nl automatisch doorgestuurd naar https://?
• Is je certificaat niet verlopen? (Klik op het slotje om de vervaldatum te zien)

Hoe te fixen:

De meeste hosters bieden gratis SSL via Let's Encrypt. Bij partijen als TransIP, Antagonist en Strato kun je dit met een klik activeren in je controlepaneel. Vergeet niet om een redirect van HTTP naar HTTPS in te stellen, anders is je site op beide adressen bereikbaar.

2. CMS en software-updates

WordPress, Joomla, Drupal en andere CMS'en brengen regelmatig beveiligingsupdates uit. Elke verouderde versie is een open deur voor aanvallers. In 2025 werden 11.334 nieuwe kwetsbaarheden ontdekt in het WordPress-ecosysteem — een stijging van 42% ten opzichte van het jaar daarvoor. En 86% van de webaanvallen verloopt via gestolen inloggegevens.

Controleer:

• Draait je CMS op de nieuwste versie?
• Staan automatische updates aan voor kleine beveiligingsreleases?
• Heb je het versienummer van je CMS verborgen? (Standaard toont WordPress dit in de broncode)

Hoe te fixen:

Log in op je admin-paneel en installeer beschikbare updates. In WordPress ga je naar Dashboard > Updates. Schakel automatische updates in voor minor releases. Plan een maandelijks moment om handmatig te controleren of er grote updates klaarstaan.

3. Sterke wachtwoorden

Het admin-wachtwoord van je website is de voordeur. Een zwak wachtwoord (bedrijfsnaam123, welkom01, admin) wordt in seconden gekraakt door geautomatiseerde aanvallen.

Controleer:

• Is je admin-wachtwoord minimaal 16 tekens lang?
• Bevat het een mix van letters, cijfers en speciale tekens?
• Gebruik je voor elke website een uniek wachtwoord?
• Deel je wachtwoorden niet via e-mail of WhatsApp?

Hoe te fixen:

Gebruik een wachtwoordmanager zoals Bitwarden (gratis) of 1Password. Genereer een willekeurig wachtwoord van minimaal 16 tekens. Verander het wachtwoord van je admin-account vandaag nog als het korter of voorspelbaar is.

4. Beveiligingsheaders

Beveiligingsheaders zijn instructies die je webserver meestuurt met elke pagina. Ze vertellen de browser van je bezoeker wat wel en niet mag. Zonder deze headers is je website kwetsbaarder voor aanvallen als cross-site scripting (XSS) en clickjacking.

De belangrijkste headers:

• Content-Security-Policy (CSP): beperkt welke scripts en bronnen je site mag laden
• X-Content-Type-Options: voorkomt dat browsers bestanden verkeerd interpreteren
• X-Frame-Options: blokkeert dat je site in een iframe op een andere site wordt geladen
• Strict-Transport-Security (HSTS): dwingt HTTPS af, ook als iemand HTTP typt
• Referrer-Policy: beperkt welke informatie wordt doorgestuurd bij het klikken op links
• Permissions-Policy: schakelt toegang tot camera, microfoon en locatie uit

Hoe te fixen:

Bij de meeste hosters kun je headers instellen via een .htaccess-bestand (Apache) of de serverconfiguratie (Nginx). WordPress-gebruikers kunnen een plugin als "Headers Security Advanced & HSTS WP" gebruiken. Weet je niet welke headers je mist? Scan je website en je ziet het direct.

5. Admin-URL wijzigen

Standaard is het inlogscherm van WordPress bereikbaar op /wp-admin of /wp-login.php. Aanvallers weten dat en richten hun brute-force aanvallen op die URL. Dagelijks worden miljoenen loginpogingen uitgevoerd op standaard admin-paden.

Controleer:

• Is je admin-URL nog de standaard (/wp-admin, /administrator, /wp-login.php)?
• Krijg je veel mislukte inlogpogingen in je logs?

Hoe te fixen:

Verander de login-URL met een plugin als WPS Hide Login (WordPress) of vergelijkbare tools voor je CMS. Kies een URL die niet te raden is, maar die je zelf wel kunt onthouden. Combineer dit met het beperken van het aantal inlogpogingen (punt 3 en 6 helpen hier ook).

6. Tweefactorauthenticatie (2FA)

Een sterk wachtwoord is goed. Een sterk wachtwoord plus een tweede verificatiestap is veel beter. Met 2FA moet een aanvaller naast je wachtwoord ook toegang hebben tot je telefoon of authenticator-app.

Controleer:

• Is 2FA ingeschakeld voor alle admin-accounts?
• Gebruik je een authenticator-app (Google Authenticator, Authy) in plaats van SMS?
• Hebben medewerkers met admin-toegang ook 2FA ingeschakeld?

Hoe te fixen:

WordPress: installeer een plugin als "Two Factor Authentication" of "Wordfence". Kies voor een authenticator-app in plaats van SMS (SMS is kwetsbaar voor SIM-swapping). Schakel 2FA in voor elk account met beheerdersrechten. Dit kost vijf minuten en maakt brute-force aanvallen vrijwel onmogelijk.

7. Plugins en thema's opschonen

Elke plugin en elk thema op je website is een potentieel beveiligingslek. Ongebruikte plugins die niet worden bijgewerkt zijn het grootste risico. Van de 11.334 nieuwe WordPress-kwetsbaarheden in 2025 zat het overgrote deel in plugins en thema's, niet in de WordPress-kern. Lees meer over kwetsbare plugins.

Controleer:

• Zijn alle plugins en thema's bijgewerkt naar de nieuwste versie?
• Heb je plugins verwijderd die je niet meer gebruikt? (Deactiveren is niet genoeg)
• Download je plugins alleen uit de officiele repository of van betrouwbare ontwikkelaars?
• Gebruik je nulled (illegaal gekopieerde) plugins of thema's? Die bevatten bijna altijd malware.

Hoe te fixen:

Ga naar je pluginoverzicht. Verwijder alles wat je niet actief gebruikt. Update wat overblijft. Controleer of je plugins nog onderhouden worden: als de laatste update langer dan een jaar geleden is, zoek dan een alternatief.

8. Back-ups

Een back-up is je laatste redmiddel als het misgaat. Gehackt, per ongeluk iets verwijderd, serverstoring: zonder back-up begin je van nul. Lees ook wat je moet doen als je website gehackt is.

Controleer:

• Wordt er automatisch een back-up gemaakt van je website?
• Hoe vaak? (Dagelijks is het minimum voor actieve websites)
• Wordt de back-up op een andere locatie opgeslagen dan je website? (Niet op dezelfde server)
• Heb je ooit getest of je een back-up kunt terugzetten?

Hoe te fixen:

De meeste hosters bieden automatische back-ups. Controleer of dit ingeschakeld is en hoe lang back-ups bewaard worden. Voor WordPress zijn plugins als UpdraftPlus (gratis) een goede optie. Sla back-ups op in de cloud (Google Drive, Dropbox) en test minimaal elk kwartaal of je een back-up succesvol kunt herstellen.

9. Bestandspermissies

Bestandspermissies bepalen wie bestanden op je server mag lezen, schrijven of uitvoeren. Verkeerde permissies geven aanvallers de mogelijkheid om bestanden te wijzigen, malware te uploaden of je configuratie te lezen.

Controleer:

• Zijn mappen ingesteld op permissie 755 en bestanden op 644?
• Is wp-config.php (WordPress) ingesteld op 400 of 440?
• Is directory listing uitgeschakeld? (Typ jouwsite.nl/wp-content/uploads/ in je browser. Als je een lijst bestanden ziet, is dit niet goed.)

Hoe te fixen:

Log in via FTP of het bestandsbeheer van je hoster. Controleer de permissies van je hoofdmap, wp-config.php en de uploads-map. De meeste FTP-programma's (FileZilla) laten je permissies wijzigen met een rechtermuisklik. Bij twijfel: vraag je hoster om de standaard veilige permissies in te stellen.

10. Monitoring en meldingen

Je kunt pas reageren op een probleem als je weet dat het er is. Veel gehackte websites worden pas na weken ontdekt, als Google de site al heeft gemarkeerd als onveilig.

Controleer:

• Heb je Google Search Console ingesteld? (Google waarschuwt je bij beveiligingsproblemen)
• Krijg je een melding als je website offline gaat?
• Heb je een beveiligingsplugin die verdachte activiteit detecteert?
• Controleer je regelmatig of je domein of e-mail op een SPF/DKIM/DMARC-configuratie draait om spoofing te voorkomen?

Hoe te fixen:

Stel Google Search Console in (gratis). Gebruik een uptime-monitor als UptimeRobot (gratis tot 50 monitors). WordPress-gebruikers: installeer Wordfence of Sucuri voor realtime beveiligingsmonitoring. Stel DMARC in op je domein zodat niemand e-mails kan versturen die van jouw bedrijf lijken te komen.

AVG en beveiliging: het hangt samen

Website-beveiliging is niet optioneel als je persoonsgegevens verwerkt. Artikel 32 van de AVG verplicht je om "passende technische en organisatorische maatregelen" te nemen. Wat "passend" is, hangt af van het type gegevens dat je verwerkt en het risico van een datalek.

De Autoriteit Persoonsgegevens deelt daadwerkelijk boetes uit voor slechte beveiliging. Het UWV kreeg een boete van €450.000 omdat het geen tweefactorauthenticatie had ingesteld. Het OLVG-ziekenhuis kreeg €440.000 vanwege onvoldoende toegangsbeveiliging. Dit zijn geen theoretische risico's.

Voor de meeste mkb-websites betekent dit minimaal: HTTPS, bijgewerkte software, sterke wachtwoorden en back-ups. Precies de punten in deze checklist. Het Digital Trust Center (DTC) van de Rijksoverheid vat dit samen in 5 basisprincipes: inventariseer je kwetsbaarheden, kies veilige instellingen, voer updates uit, beperk toegang en voorkom malware.

Wil je weten hoe je website scoort op alle AVG-verplichtingen? Bekijk dan onze AVG checklist voor ondernemers.

Staat je website als "niet veilig" in de browser? Lees dan hoe je dat oplost.

Hoeveel punten scoor jij?

Loop de 10 punten hierboven na. Elk punt dat je kunt afvinken, maakt je website veiliger.

• 8-10 punten: Je website is goed beveiligd. Blijf updates en back-ups bijhouden.
• 5-7 punten: Er zijn serieuze verbeterpunten. Pak de ontbrekende items deze week op.
• Minder dan 5: Je website loopt risico. Begin vandaag met SSL, updates en wachtwoorden.

Wil je het zeker weten?

Een checklist is een goed begin, maar je wilt ook weten wat je niet ziet. Verborgen kwetsbaarheden, ontbrekende headers, verouderde software: dat ontdek je niet door naar je eigen site te kijken.

Scan je website gratis en krijg binnen twee minuten een beveiligingsrapport. Geen account nodig, geen verplichtingen.

Veelgestelde vragen

Hoe weet ik of mijn website veilig is?

Check of je HTTPS hebt, je CMS en plugins up-to-date zijn, je sterke wachtwoorden gebruikt en je beveiligingsheaders goed staan. Onze gratis scan controleert dit automatisch.

Is mijn hostingprovider niet verantwoordelijk voor de beveiliging?

Je hoster beveiligt de server, maar jij bent verantwoordelijk voor je eigen website: updates, wachtwoorden, plugins en configuratie. Vergelijk het met een huurpand: de verhuurder onderhoudt het pand, maar jij sluit de deur op slot.

Kost het veel om mijn website te beveiligen?

De meeste beveiligingsmaatregelen zijn gratis en kosten minder dan een uur. SSL is gratis via Let's Encrypt, updates zijn gratis, en sterke wachtwoorden kosten niks. Alleen geavanceerde monitoring-tools hebben een betaald abonnement, maar voor de meeste mkb-websites zijn de gratis opties voldoende.

---

Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een jurist voor advies over jouw specifieke situatie.