Is Jouw Website Veilig? Checklist voor Ondernemers

"Mijn website is te klein om gehackt te worden." Dat horen we vaak. De realiteit is anders. Juist kleine websites zijn een doelwit: ze draaien op verouderde software, hebben standaard wachtwoorden en er kijkt niemand mee. Aanvallen zijn geautomatiseerd. Bots scannen het hele internet af op zwakke plekken, ongeacht de grootte van je bedrijf.

Een veilige website betekent drie dingen: versleuteling van gegevens, up-to-date software en goed toegangsbeheer. Mis je een van die drie, dan heb je een probleem. In dit artikel loop je in 15 minuten door 12 concrete controlepunten. Geen technische voorkennis nodig.

Wat betekent "veilig" precies?

Website veiligheid gaat over drie lagen:

Versleuteling — Alle communicatie tussen je website en de bezoeker is versleuteld via HTTPS. Zonder versleuteling kan iemand op hetzelfde wifi-netwerk meelezen: wachtwoorden, formuliergegevens, betaalinformatie.

Software-integriteit — Je CMS, plugins, thema's en servercomponenten zijn up-to-date. Elke verouderde versie bevat bekende kwetsbaarheden die aanvallers actief misbruiken.

Toegangsbeheer — Alleen de juiste mensen hebben toegang tot je admin-omgeving, en die toegang is beveiligd met sterke wachtwoorden en tweefactorauthenticatie.

Val je op een van deze drie punten door de mand, dan is je website kwetsbaar. Dat heeft directe gevolgen: gehackte websites, gestolen klantgegevens en een melding bij de Autoriteit Persoonsgegevens.

De 12-punts checklist

1. SSL-certificaat (HTTPS)

Zonder SSL-certificaat stuurt je website alles in platte tekst. Browsers tonen "Niet veilig" en Google rankt je lager.

Check: Staat er een slotje in je adresbalk? Begint je URL met https://? Wordt http:// automatisch doorgestuurd naar https://?

Fix: Activeer gratis SSL via Let's Encrypt bij je hoster (TransIP, Antagonist, Versio — allemaal ondersteunen het). Stel een redirect in van HTTP naar HTTPS. Staat je site als "niet veilig" in de browser? Lees dan hoe je dat oplost.

2. CMS-updates

WordPress, Joomla en andere CMS'en brengen regelmatig beveiligingspatches uit. Elke verouderde versie is een open deur. In 2025 werden duizenden WordPress-sites gehackt via kwetsbaarheden waarvoor al weken een patch beschikbaar was.

Check: Draait je CMS op de nieuwste versie? Staan automatische updates aan voor beveiligingsreleases?

Fix: Log in op je admin-paneel en installeer alle beschikbare updates. In WordPress: Dashboard > Updates. Schakel automatische minor updates in. Plan een maandelijks moment om handmatig op grote updates te controleren.

3. Sterke wachtwoorden

Het admin-wachtwoord van je website is de voordeur. "Bedrijfsnaam2024" of "welkom01" wordt in seconden gekraakt door geautomatiseerde brute-force aanvallen.

Check: Is je admin-wachtwoord minimaal 16 tekens? Bevat het letters, cijfers en speciale tekens? Gebruik je voor elke site een uniek wachtwoord?

Fix: Gebruik een wachtwoordmanager (Bitwarden is gratis, 1Password kost een paar euro per maand). Genereer willekeurige wachtwoorden van minimaal 16 tekens. Deel wachtwoorden nooit via e-mail of WhatsApp.

4. Tweefactorauthenticatie (2FA)

Een sterk wachtwoord is goed. Een sterk wachtwoord plus een tweede stap is veel beter. Met 2FA moet een aanvaller naast je wachtwoord ook je telefoon hebben.

Check: Is 2FA ingeschakeld voor alle admin-accounts? Gebruik je een authenticator-app (niet SMS)?

Fix: WordPress: installeer "Two Factor Authentication" of "Wordfence". Kies een authenticator-app (Google Authenticator, Authy) boven SMS — SMS is kwetsbaar voor SIM-swapping. Vijf minuten werk, brute-force aanvallen worden vrijwel onmogelijk.

5. Beveiligingsheaders

Beveiligingsheaders zijn instructies die je webserver meestuurt. Ze vertellen de browser wat wel en niet mag. Zonder headers is je site kwetsbaarder voor cross-site scripting (XSS) en clickjacking.

De zes headers die je nodig hebt:

• Content-Security-Policy (CSP) — beperkt welke scripts en bronnen geladen mogen worden
• Strict-Transport-Security (HSTS) — dwingt HTTPS af
• X-Content-Type-Options — voorkomt dat browsers bestanden verkeerd interpreteren
• X-Frame-Options — blokkeert dat je site in een iframe op een andere site verschijnt
• Referrer-Policy — beperkt doorgestuurde informatie bij het klikken op links
• Permissions-Policy — schakelt camera-, microfoon- en locatietoegang uit

Check: Welke headers mis je? Test het met onze security headers checker.

Fix: Stel headers in via .htaccess (Apache) of je serverconfiguratie (Nginx). WordPress-gebruikers: gebruik een plugin als "Headers Security Advanced & HSTS WP". Meer achtergrond vind je in de beveiliging checklist voor MKB.

6. Back-ups

Een back-up is je noodrem. Gehackt, per ongeluk verwijderd, serverstoring: zonder back-up begin je van nul.

Check: Wordt er automatisch gebackupt? Hoe vaak (dagelijks is het minimum)? Staat de back-up op een andere locatie dan je website? Heb je ooit getest of je kunt herstellen?

Fix: De meeste hosters bieden automatische back-ups. Controleer of het aan staat. WordPress: UpdraftPlus (gratis) kan naar Google Drive of Dropbox backuppen. Test elk kwartaal of je een back-up succesvol kunt terugzetten.

7. Plugins en thema's opschonen

Elke plugin is een potentieel beveiligingslek. Ongebruikte plugins die niet worden bijgewerkt zijn het grootste risico. De meeste WordPress-hacks in 2025 kwamen via kwetsbare plugins, niet via WordPress zelf.

Check: Zijn alle plugins en thema's bijgewerkt? Heb je ongebruikte plugins verwijderd (niet alleen gedeactiveerd)? Download je alleen uit officiele repositories?

Fix: Verwijder alles wat je niet actief gebruikt. Update wat overblijft. Is de laatste update van een plugin langer dan een jaar geleden? Zoek een alternatief.

8. Bestandspermissies

Verkeerde bestandspermissies geven aanvallers de mogelijkheid om bestanden te wijzigen, malware te uploaden of je configuratie te lezen.

Check: Staan mappen op 755 en bestanden op 644? Is wp-config.php ingesteld op 400 of 440? Is directory listing uitgeschakeld?

Fix: Controleer permissies via FTP (FileZilla) of het bestandsbeheer van je hoster. Typ jouwsite.nl/wp-content/uploads/ in je browser. Zie je een lijst bestanden? Dan moet je directory listing uitschakelen via .htaccess.

9. Admin-URL wijzigen

/wp-admin en /wp-login.php zijn de standaard inlogpagina's van WordPress. Aanvallers weten dat. Dagelijks worden miljoenen brute-force pogingen uitgevoerd op deze URL's.

Check: Is je admin-URL nog de standaard?

Fix: Verander de login-URL met WPS Hide Login (WordPress). Kies een URL die niet te raden is. Combineer dit met een limiet op het aantal inlogpogingen.

10. E-mail authenticatie (SPF, DKIM, DMARC)

Zonder e-mailauthenticatie kan iedereen e-mails versturen die eruitzien alsof ze van jouw domein komen. Dat heet spoofing. Klanten ontvangen phishingmails met jouw naam.

Check: Heb je SPF, DKIM en DMARC records in je DNS-instellingen? Staan ze correct geconfigureerd?

Fix: Stel minimaal een SPF-record in bij je hoster of domeinregistrar. Voeg DKIM toe via je e-mailprovider. Zet DMARC op "quarantine" of "reject" zodat nepmail geblokkeerd wordt. De meeste hosters hebben handleidingen hiervoor.

11. Verouderde PHP-versie

PHP is de programmeertaal achter WordPress, Joomla en de meeste CMS'en. Oudere PHP-versies krijgen geen beveiligingsupdates meer. PHP 7.4 is sinds eind 2022 end-of-life, maar draait nog op duizenden Nederlandse websites.

Check: Welke PHP-versie draait je website? (Check in je hostingpaneel onder "PHP-instellingen" of "PHP-versie")

Fix: Upgrade naar PHP 8.2 of hoger. Test eerst of je plugins en thema's compatibel zijn. De meeste hosters laten je de PHP-versie met een klik wijzigen. Maak voor de zekerheid een back-up voor je switcht.

12. Monitoring instellen

Je kunt pas reageren als je weet dat er iets mis is. Veel gehackte websites worden pas na weken ontdekt.

Check: Heb je Google Search Console ingesteld? Krijg je meldingen als je site offline gaat? Heb je een beveiligingsplugin die verdachte activiteit detecteert?

Fix: Stel Google Search Console in (gratis). Gebruik UptimeRobot (gratis tot 50 monitors) voor uptime-monitoring. WordPress: Wordfence of Sucuri voor realtime beveiligingswaarschuwingen.

De AVG-verplichting: beveiliging is geen optie

Website veiligheid is niet alleen verstandig — het is wettelijk verplicht. De AVG (Artikel 32) eist "passende technische en organisatorische maatregelen" om persoonsgegevens te beschermen. Verwerk je persoonsgegevens via een contactformulier, nieuwsbrief of bestelproces? Dan moet je website beveiligd zijn.

Wat "passend" is, hangt af van het risico. Voor de meeste mkb-websites betekent dat minimaal: HTTPS, bijgewerkte software, sterke wachtwoorden, back-ups en beveiligingsheaders. Precies de punten in deze checklist.

De Autoriteit Persoonsgegevens maakt geen onderscheid op bedrijfsgrootte. Een zzp'er met een contactformulier op een onveilige website is net zo goed in overtreding als een multinational. In 2025 heeft de AP meer dan 200 Nederlandse websites gewaarschuwd, waaronder eenmanszaken en kleine webshops.

Wil je weten hoe je website scoort op alle AVG-verplichtingen? Bekijk de AVG checklist voor ondernemers.

Wat als je website gehackt wordt?

Een gehackte website is geen theoretisch probleem. Dit is wat er in de praktijk gebeurt:

Datalek melden — Zijn er persoonsgegevens gelekt (klantgegevens, e-mailadressen, wachtwoorden)? Dan moet je binnen 72 uur een melding doen bij de Autoriteit Persoonsgegevens. Bij een hoog risico voor de betrokkenen moet je ook je klanten persoonlijk informeren.

Reputatieschade — Google markeert gehackte websites als "Deze site is mogelijk gehackt" in de zoekresultaten. Dat jaagt bezoekers weg en je rankings kelderen. Het kan maanden duren voordat Google die markering verwijdert.

Kosten — Een gehackte website opschonen kost al snel honderden tot duizenden euro's. Dat is exclusief misgelopen omzet, juridische kosten en eventuele boetes. Voorkomen is altijd goedkoper.

SEO-schade — Aanvallers injecteren vaak spam-links of doorverwijzingen naar malafide websites. Die schade aan je zoekresultaten herstelt zich niet vanzelf.

Lees wat je moet doen als het al gebeurd is in website hacked: what to do now.

Signalen dat je website gehackt is

Niet elke hack is zichtbaar. Aanvallers werken vaak onopgemerkt. Let op deze signalen:

• Onbekende gebruikers in je admin-paneel die je niet hebt aangemaakt
• Verdachte bestanden in je uploads-map of pluginmap
• Doorverwijzingen naar andere websites, vooral op mobiel
• Google Search Console-waarschuwingen over malware of phishing
• Trage website zonder duidelijke reden (cryptomining-scripts)
• Spam-content op je site die je niet hebt geplaatst (casino-links, farmaceutische spam)
• Klanten melden phishing-e-mails die van jouw domein lijken te komen
• Je hoster blokkeert je website vanwege verdachte activiteit

Herken je een of meer van deze signalen? Handel direct. Verander alle wachtwoorden, schakel 2FA in en neem contact op met je hoster. Herstel een schone back-up als je die hebt.

Hoeveel punten scoor jij?

Loop de 12 punten hierboven na. Tel hoeveel je kunt afvinken.

• 10-12 punten — Je website is goed beveiligd. Blijf updates en monitoring bijhouden.
• 7-9 punten — Er zijn verbeterpunten. Pak de ontbrekende items deze week op.
• 4-6 punten — Serieus risico. Begin vandaag met de urgente punten: SSL, updates en wachtwoorden.
• Minder dan 4 — Je website is actief kwetsbaar. Neem dit dezelfde dag nog op.

Laat je website scannen

Een checklist is een goed begin. Maar je wilt ook weten wat je niet ziet: verborgen kwetsbaarheden, ontbrekende headers, verouderde componenten. Dat ontdek je niet door zelf naar je site te kijken.

Scan je website gratis en krijg binnen 60 seconden een beveiligingsrapport. Geen account nodig, geen verplichtingen. Je ziet direct welke punten uit deze checklist je site wel of niet haalt.

Veelgestelde vragen

Hoe weet ik of mijn website veilig is?

Controleer of je HTTPS hebt (slotje in de browser), je CMS up-to-date is, je sterke wachtwoorden gebruikt en je beveiligingsheaders goed staan. Je kunt dit handmatig doen met de 12 punten in deze checklist, of je laat het automatisch controleren met onze gratis scan die in 60 seconden een rapport oplevert.

Is mijn website onveilig als er geen slotje staat?

Ja. Zonder SSL-certificaat (HTTPS) worden alle gegevens onversleuteld verstuurd. Dat betekent dat wachtwoorden, formuliergegevens en betaalinformatie leesbaar zijn voor iedereen op hetzelfde netwerk. Browsers tonen "Niet veilig", Google rankt je lager en je bent in overtreding met de AVG. Een SSL-certificaat is gratis via Let's Encrypt en in 15 minuten geinstalleerd.

Moet mijn website veilig zijn van de wet?

Ja. De AVG verplicht je in Artikel 32 om "passende technische maatregelen" te nemen om persoonsgegevens te beschermen. Heb je een contactformulier, inlogpagina of bestelproces? Dan verwerk je persoonsgegevens en moet je website beveiligd zijn. Een onveilige website is een AVG-overtreding waarvoor de Autoriteit Persoonsgegevens je kan beboeten. Lees meer in de AVG checklist voor ondernemers.

---

Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een jurist voor advies over jouw specifieke situatie.