Op 12 februari 2026 maakte telecomprovider Odido bekend dat criminelen toegang hadden gekregen tot gegevens van 6,2 miljoen klanten. Namen, adressen, rekeningnummers, paspoortgegevens: het complete pakket. De hack begon niet met een spectaculaire aanval op servers, maar met iets prozaïscher: gecompromitteerde inloggegevens van medewerkers van de klantenservice. Eén zwak punt in de keten was voldoende.
Die les is breder toepasbaar dan veel mensen denken. Wie een website beheert, ook al is het "maar" een kleine bedrijfssite of een lokale verenigingspagina, heeft een digitale deur die op slot moet. En bij WordPress-sites staat die deur vaker op een kier dan de eigenaren vermoeden.
Waarom WordPress een geliefd doelwit is voor hackers
WordPress is verreweg het populairste CMS ter wereld. Ruwweg 43 procent van alle websites wereldwijd draait erop. Dat is precies waarom het ook zo aantrekkelijk is voor kwaadwillenden: wie een kwetsbaarheid vindt in een populaire plugin of een verouderde WordPress-versie, heeft direct toegang tot miljoenen potentiële doelwitten. Geen specifieke site hoeft te worden uitgezocht.
Aanvallers werken grotendeels geautomatiseerd. Ze scannen het internet voortdurend op bekende zwakheden, zoals een standaard inlogpagina op /wp-admin, een plugin die al maanden geen update heeft gekregen, of een beheerder die nog steeds de gebruikersnaam "admin" heeft. Herkenbaar? Dan is de kans op een incident groter dan je denkt.
De meest gemaakte fouten bij WordPress beveiliging
Slecht nieuws eerst: de meeste gehackte WordPress-sites zijn niet het slachtoffer van een briljante aanval. Ze zijn gewoon niet onderhouden. Dat zijn de fouten die het vaakst voorkomen.
- Updates worden uitgesteld. WordPress brengt regelmatig beveiligingsupdates uit. Hetzelfde geldt voor plugins en thema's. Elke dag dat die updates niet worden doorgevoerd, is een dag waarop een bekende kwetsbaarheid open blijft staan. Precies die situatie die Odido deels ook raakte: verouderde systemen met onopgemerkte zwakheden.
- Zwakke wachtwoorden en standaardinstellingen. De gebruikersnaam "admin" in combinatie met een eenvoudig wachtwoord is in minuten te kraken via geautomatiseerde aanvallen. Tweefactorauthenticatie is op veel WordPress-installaties simpelweg niet ingeschakeld, terwijl het een van de meest effectieve maatregelen is.
- Geen back-ups. Een gehackte site herstellen zonder recente back-up is een nachtmerrie. Toch ontbreken automatische back-ups bij een groot deel van de zelfbeheerde WordPress-installaties. Als er dan iets misgaat, is de schade onherstelbaar.
- Onveilige hosting en geen SSL. Goedkope hostingpartijen bieden soms onvoldoende isolatie tussen accounts. Als één site op een server wordt gehackt, kunnen andere sites meebesmetten. Een SSL-certificaat (de slotjes in de adresbalk) is inmiddels standaard, maar nog altijd niet overal aanwezig.
Wat een professionele aanpak toevoegt
Er is een verschil tussen een WordPress-site die door iemand met een tutorial in elkaar is gezet en een site die van de grond af aan veilig is opgezet. Dat verschil zit niet alleen in de code, maar in de keuzes die worden gemaakt vóórdat de eerste pagina online gaat.
Wie kiest voor een WordPress website laten maken door een gespecialiseerd bureau, krijgt niet alleen een werkende website. Een goed bureau kiest bewust voor de juiste hostingomgeving, implementeert beveiliging als onderdeel van het bouwproces, stelt tweefactorauthenticatie in en regelt automatische back-ups. Dat zijn geen extraatjes, dat is de basis.
Stuurlui is een fullservice WordPress-bureau uit Utrecht dat zich onder meer richt op WordPress beveiliging als afzonderlijke specialisatie. Van hardening van de installatie tot monitoring op verdachte activiteit: beveiliging wordt niet als nagedachte behandeld, maar als integraal onderdeel van elk project.
Stap voor stap: zo verbeter je de beveiliging van je WordPress-site
Beheer je al een WordPress-site? Doorloop dan minimaal deze stappen.
Installeer alle beschikbare updates voor WordPress zelf, plugins en het gebruikte thema. Verander de standaard inlognaam "admin" naar iets unieks, en gebruik een wachtwoord van minimaal twintig tekens met letters, cijfers en tekens. Schakel tweefactorauthenticatie in via een plugin als WP 2FA. Controleer of je site een geldig SSL-certificaat heeft. Zet automatische back-ups op, bij voorkeur naar een externe locatie. Installeer een beveiligingsplugin die verdachte inlogpogingen blokkeert en je waarschuwt bij afwijkend gedrag.
Meer achtergrond over nieuwe cyberdreigingen en praktische beveiligingstips is te vinden in de kennis-rubriek van HCC, waar vergelijkbare digitale risico's voor computergebruikers regelmatig worden behandeld.
De les van Odido gaat verder dan telecom
Het Odido-datalek is een herinnering dat beveiliging geen eenmalig project is. Het is een continu proces, bij grote telecomproviders én bij de eigenaar van een WordPress-website met honderd bezoekers per dag. Eén verouderde plugin, één zwak wachtwoord, één keer niet opletten: dat is soms genoeg.
Wie nu actie onderneemt, staat straks sterk. Wie wacht, wacht op een incident.
