Waarom beveiligingslogs in WordPress vaak worden overgeslagen — en waarom dat een vergissing is
De meeste WordPress-beheerders weten dat updates belangrijk zijn. Backups ook. Maar beveiligingslogs? Die staan zelden bovenaan de lijst. Dat is jammer, want logs zijn het enige wat je achteraf vertelt wat er is gebeurd — en wanneer, en via welke weg.
Als je site gehackt wordt of er verdachte activiteit plaatsvindt, is een log het verschil tussen gissen en weten. In dit artikel leg ik uit wat beveiligingslogs zijn, hoe je ze activeert en wat je ermee doet.
Wat legt een beveiligingslog precies vast?
Een beveiligingslog registreert activiteiten op je WordPress-site die relevant zijn vanuit beveiligingsperspectief. Denk aan: inlogpogingen (geslaagd en mislukt), wijzigingen in gebruikersrollen of -rechten, aanpassingen aan bestanden of instellingen, het installeren of verwijderen van plugins en thema’s, en 404-fouten die wijzen op geautomatiseerd scangedrag.
Standaard logt WordPress zelf weinig. Je hebt een plugin nodig die dit bijhoudt. Wordfence en WP Activity Log zijn twee veelgebruikte opties die elk hun eigen manier van loggen hebben.
Hoe activeer je beveiligingslogs?
De snelste manier is via een beveiligingsplugin die logging als feature heeft. Bij Wordfence vind je dit onder Wordfence → Activity. Bij WP Activity Log is de hele plugin hierop gebouwd en kun je per gebruikersrol en per actie instellen wat je wil bijhouden.
Let op dat je niet alles logt. Een log die vol staat met irrelevante pagina-laadgebeurtenissen is even nutteloos als geen log. Focus op: aanmeldingen, beheerdersacties, bestandswijzigingen en plugin-installaties. Dat zijn de signalen die ertoe doen.
Wat zoek je in een beveiligingslog?
De meeste activiteit in een log is normaal. Waar je op let zijn afwijkingen: meerdere mislukte aanmeldpogingen in korte tijd — klassiek teken van een brute force aanval. Aanmeldingen op ongebruikelijke tijdstippen of vanuit onbekende landen. Plotselinge bestandswijzigingen die jij niet hebt doorgevoerd. Een gebruikersaccount met verhoogde rechten die je niet zelf hebt aangemaakt.
Dit zijn geen hypothetische gevallen. Het zijn dingen die dagelijks op WordPress-sites gebeuren — ook op kleine, “oninteressante” sites. Geautomatiseerde aanvallen kiezen niet op basis van bedrijfsgrootte. Meer over hoe aanvallen eruitzien lees je in ons artikel over WordPress-beveiligingsbedreigingen.
Logs bewaren en opvolgen
Een log die je nooit bekijkt, heeft weinig waarde. Stel notificaties in voor kritieke events — de meeste beveiligingsplugins laten je e-mailwaarschuwingen instellen voor specifieke activiteiten. Zo weet je het meteen als er iets opmerkelijks gebeurt, zonder dat je dagelijks handmatig moet controleren.
Bewaar je logs ook niet onbeperkt op de server zelf. Grote logbestanden vertragen je site en als de server gecompromitteerd raakt, verdwijnen de logs mee. Exporteer of archiveer ze periodiek.
Logs als onderdeel van structureel onderhoud
Beveiligingslogs zijn geen eenmalige instelling. Ze zijn een doorlopend onderdeel van goed WordPress-beheer, samen met regelmatige updates, externe backups en uptime monitoring. Pas als al die elementen samen werken, heb je een site die je vertrouwen verdient.
Als je dat zelf wil bijhouden: weet wat te doen als er toch iets misgaat en zorg dat je malware snel en zonder downtime kunt verwijderen. En als je het liever aan iemand anders overlaat, is Jouw WP Check precies daarvoor opgezet.
