Bij Emplear draaien tientallen recruitment sites op WordPress. En ja, we krijgen regelmatig de vraag: “Is WordPress wel veilig genoeg voor al die data?”
Het eerlijke antwoord: WordPress zelf is veilig. Hoe jij het gebruikt, vaak niet.
Laten we stoppen met vaag security-theater en kijken naar wat écht belangrijk is voor recruitment sites.
Waarom recruitment sites interessant zijn voor aanvallers
Je site bevat exact wat criminelen zoeken: persoonlijke data. CV’s met namen, adressen, telefoonnummers, werkhistorie. Kandidatenbanken met duizenden contactgegevens. Maar ook klantdata, contracten, en interne correspondentie. Perfect voor identiteitsfraude, phishing en bedrijfsspionage.
En onder GDPR? Een datalek kan je tot €20 miljoen of 4% van je omzet kosten. Praktisch gezien betekent dat meestal: reputatieschade waar je jaren niet van herstelt. Klanten die vertrekken. Kandidaten die je niet meer vertrouwen.
De realiteit: De meeste hacks gebeuren niet omdat WordPress zwak is, maar omdat iemand een plugin 6 maanden niet heeft geüpdatet.
De drie échte zwakke plekken
1. Verouderde plugins en thema’s
Dit is veruit de grootste oorzaak van WordPress hacks. Een plugin met een bekende kwetsbaarheid is een open deur. Denk aan Revolution Slider die miljoenen sites trof, of contact form plugins waar SQL-injecties doorheen kwamen.
We installeren security patches binnen 48 uur, beperken plugins tot 10-15 essentiële, en gooien alles weg dat langer dan 6 maanden niet is geüpdatet. Elke update testen we eerst op staging voordat het live gaat. Klinkt basic, maar het voorkomt 80% van de problemen.
2. Zwakke toegangscontrole
“Admin123” is geen grap, het gebeurt écht. En dan ook nog zonder two-factor authenticatie. Of ergernoch: iedereen in het team heeft admin-rechten, ook als ze alleen content hoeven te bewerken.
Wij eisen minimaal 12 karakters per wachtwoord en een wachtwoordmanager is verplicht. 2FA op alle accounts, geen uitzonderingen. Brute-force blokkade na 5 mislukte pogingen. En het belangrijkste: least privilege. Iedereen krijgt alleen de rechten die ze nodig hebben, niks meer.
3. Geen backups (of slechte)
Een backup op dezelfde server als je site? Nutteloos. Als de server gehackt wordt, is je backup ook weg. We zien het te vaak: bedrijven die denken dat ze backups hebben, tot het moment dat ze hem nodig hebben.
Dagelijkse automatische backups naar een off-site locatie. Niet dezelfde server, niet dezelfde provider. En elke maand testen we of die backup écht werkt door hem daadwerkelijk te herstellen. Minimaal 30 dagen retentie, zodat je ook een infectie van 2 weken geleden nog kunt terugdraaien.
Onze praktische security stack
Hosting: Managed WordPress hosting met server-side firewall, containerisolatie, beveiligingsupdates en dagelijkse malware-scanning zorgt voor een solide basis.
Security plugin: Wordfence of Sucuri voor WAF, dagelijkse malware scans, brute-force bescherming en real-time IP blokkades. Installeer, activeer, configureer. Duurt 20 minuten, blokkeert duizenden aanvallen per maand.
SSL/TLS: HTTPS is niet optioneel. Alle data tussen kandidaat en server moet versleuteld zijn. Let’s Encrypt geeft gratis certificaten.
Monitoring: We loggen alle login-pogingen, file changes en database queries. Als iets verdacht is, krijgen we binnen minuten een alert.
GDPR: het is niet optioneel
Als je persoonsgegevens verwerkt, valt je onder GDPR. Dat betekent een duidelijke privacy statement, toestemming logbaar bewaren, data versleuteld opslaan (TLS 1.3, AES-256), en een retentiebeleid dat data verwijdert na 1-2 jaar.
Bij een datalek moet je de Autoriteit Persoonsgegevens binnen 72 uur informeren. Niet 73 uur, niet “volgende week”. 72 uur. Dit is niet alleen IT-werk. Je hele organisatie moet weten hoe dit werkt.
Als het toch mis gaat
Zelfs met alle maatregelen kan het gebeuren. Daarom heb je een plan nodig. Isoleer de getroffen server, stop verdachte processen, documenteer alles. Reset alle wachtwoorden, roteer API keys, en herstel vanaf een bekende goede backup.
Update alles voordat je live gaat: core, plugins, thema’s. Volledige malware scan. En dan 30 dagen intensief monitoren. Binnen 72 uur moet je de toezichthouder informeren als persoonsgegevens zijn gelekt, en getroffen personen moeten het weten.
Test je incident response plan minimaal één keer per jaar. Op papier ziet alles er simpel uit, maar in paniek vergeet je de helft.
De security checklist
Doe je dit allemaal? Dan ben je 95% veiliger dan de meeste WordPress sites:
- Managed WordPress hosting met server-side firewall
- Security plugin actief (Wordfence/Sucuri)
- Alle plugins <6 maanden oud
- 2FA op alle accounts
- Wachtwoorden 12+ karakters
- HTTPS/SSL actief
- Dagelijkse backups naar off-site locatie
- Maandelijkse backup-hersteltest
- Incident response plan geschreven en getest
Conclusie: security is geen project, het is een gewoonte
WordPress security is niet complex. Het vraagt geen dure tools of externe consultants. Wat het wél vraagt: consistentie. Updates binnen 48 uur. Wekelijkse checks. Maandelijkse tests.
De meeste hacks gebeuren niet omdat WordPress zwak is, maar omdat iemand iets vergat. Maak het een gewoonte, geen project. En als je het niet zelf wilt doen? Laat het dan aan iemand over die het serieus neemt. Je data is te belangrijk om te gokken.
─────────────────────
Hulp nodig met WordPress security?
Bij Emplear zorgen we dat recruitment sites veilig draaien. Van security audits tot complete managed WordPress setups.
Website: emplear.io
─────────────────────
Feiko is IT Development Director bij Emplear B.V.
