Ga naar inhoud
  • Ontzorging en service
  • 24/7 geholpen
  • Uitgebreide mogelijkheden
Ontzorging en service
Managed hosting Security 28 June 2026

Website hardening in de praktijk: security headers, TLS en WordPress dichttimmeren

Deel dit artikel

Website hardening in de praktijk: security headers, TLS en WordPress dichttimmeren

In het kort

Wat hardening wél en niet is

“Hardening” klinkt als iets eenmaligs — een knop die je omzet en klaar. Dat is het niet. Hardening is het systematisch verkleinen van je aanvalsoppervlak: elke functie die je niet gebruikt uitzetten, elke standaardinstelling die te ruim staat dichttrekken, en elke laag laten samenwerken zodat één gemiste fout niet meteen je hele site openlegt.

Het verschil tussen een gidsje en de praktijk zit in de details die niemand opschrijft: dat een strenge CSP je cookiebanner sloopt, dat HSTS-preload je subdomeinen buitensluit als die nog op HTTP draaien, dat een “veilige” XSS-header juist verouderd is. Daarom delen we hier niet de theorie, maar de configuratie die cobytes.com vandaag meestuurde — en de afwegingen erachter.

Laag 1 — Transport: TLS goed instellen

Alles begint bij de verbinding. Zonder strak ingerichte TLS maakt de rest niet uit: een aanvaller die tussen bezoeker en server zit, leest of wijzigt alsnog alles. Goede TLS betekent in 2026: TLS 1.3 aan, oude protocollen (TLS 1.0/1.1) uit, een verstandige cipher-volgorde, en OCSP stapling zodat de browser niet bij elke verbinding een trage certificaat-check hoeft te doen.

Daarbovenop dwing je HTTPS af met HSTS (Strict-Transport-Security), inclusief preload zodat zelfs de allereerste request al over HTTPS gaat. Wij draaien op cobytes.com max-age=31536000; includeSubDomains; preload — een jaar, alle subdomeinen, en aangemeld op de preloadlijst.

Dit regelen we standaard mee als onderdeel van security en managed hosting.

Laag 2 — Headers: regels voor de browser

Security headers vertellen de browser wat wél en niet mag op jouw site: welke scripts mogen draaien, of de site in een <iframe> mag, welke API’s (camera, locatie) toegankelijk zijn. Goed ingesteld vangen ze het leeuwendeel van XSS, clickjacking en datalekken af — en ze kosten je niets aan performance.

Zeven headers doen het echte werk: HSTS, CSP, X-Content-Type-Options, frame-ancestors/X-Frame-Options, Referrer-Policy, Permissions-Policy en Cross-Origin-Opener-Policy. En één die je juist op 0 zet: X-XSS-Protection.

→ *Diepte: De 7 security headers die er echt toe doen — met onze exacte productiewaarden en waarom de oude XSS-header de prullenbak in moet.*

Laag 3 — Applicatie: WordPress en server dichttrekken

De sterkste headers helpen niet als je applicatie zelf lek staat. Op WordPress betekent hardening onder meer: de loginpagina afschermen, bestandsrechten correct zetten, wp-config.php beveiligen, een firewall op de server, en object-caching netjes scheiden. Stuk voor stuk maatregelen die wij standaard op elke beheerde site toepassen — als onderdeel van managed hosting.

Laag 4 — Proces: veilig uitrollen zonder je site te slopen

Dit is de laag die de meeste gidsen overslaan, en precies waar het misgaat. De krachtigste maatregel — een strenge Content-Security-Policy — is ook de gevaarlijkste om aan te zetten: één fout en je halve site doet het niet meer.

De oplossing is procesmatig: zet een nieuwe of strengere policy eerst in report-only. Die blokkeert niets, maar rapporteert wat er zou breken. Je laat ‘m meedraaien, loopt de rapporten leeg, en zet pas om naar enforce als de ruis nul is. Precies zo hebben wij cobytes.com naar een strict CSP gebracht: een nonce-based policy met 'strict-dynamic', zónder unsafe-inline of unsafe-eval. Het resultaat is een internet.nl-score van 100% en een plek in hun Hall of Fame.

→ *Diepte: Onze productie-CSP op WordPress: van unsafe-eval naar strict-dynamic — de exacte policy en hoe we ‘m zonder downtime hebben omgezet.*

Waar te beginnen — de juiste volgorde

FaseDoe ditRisico om iets te breken
1X-Content-Type-Options, Referrer-Policy, Permissions-Policy (alles dicht)Vrijwel nul
2X-Frame-Options + frame-ancestorsLaag (check of je legitiem geframed wordt)
3TLS 1.3, oude protocollen uit, HSTS (eerst kort, dan preload)Middel (alle subdomeinen moeten HTTPS zijn)
4WordPress/server hardening (firewall, permissions, login)Laag tot middel
5CSP — report-only, dan enforceHoog → daarom als laatste, met proces

Wie deze volgorde aanhoudt, bouwt op zonder verrassingen. Wie meteen bij laag 5 begint, zet de header binnen een dag weer uit.

Veelgestelde vragen

Is hardening eenmalig of doorlopend? Doorlopend. Nieuwe plugins, nieuwe marketingtools en nieuwe browserstandaarden veranderen je aanvalsoppervlak. Een policy die vandaag klopt, lekt over een half jaar als niemand ‘m bijhoudt. Daarom hoort hardening bij beheer, niet bij oplevering.

Kan ik dit zelf, of heb ik hulp nodig? De eerste lagen (headers die zelden iets breken) kun je prima zelf. TLS en vooral CSP op een productiesite met marketing- en CRM-tooling is een vak apart — daar zit het verschil tussen een mooie scanscore en een site die blijft werken.

Hoe meet ik waar ik nu sta? Stuur je site door securityheaders.com en SSL Labs. Dat geeft een eerste beeld van je headers en je TLS-configuratie.


Wil je dit in één keer goed? Bij security en managed hosting van Cobytes richten we alle vier de lagen in als onderdeel van het beheer — getest, op de webserver, en zonder je site te slopen. We passen dezelfde hardening toe die we op onze eigen infra draaien (ISO 27001 gecertificeerd).

Deel dit artikel

Gerelateerde diensten

Managed hosting Security

Bekijk deze relevante artikelen

De 7 security headers die er echt toe doen

28 June 2026

De 7 security headers die er echt toe doen

Onze productie-CSP op WordPress: van unsafe-eval naar strict-dynamic

28 June 2026

Onze productie-CSP op WordPress: van unsafe-eval naar strict-dynamic

Security headers configureren: bescherm je website in 15 minuten

5 April 2026

Security headers configureren: bescherm je website in 15 minuten

Direct online bestellen

Domeinnaam, webhosting, managed hosting of een VPS op maat — binnen een paar minuten geregeld.

logo keuzehulp

Niet zeker welk
pakket of dienst past
bij jouw organisatie?

Beantwoord in 1 minuut een aantal vragen en kom erachter!

Start de keuzehulp Doe de Cobytes IT-keuzehulp
1

Hoe belangrijk is hosting voor jou?

Gebruik je jouw hosting hobbymatig, of is het van cruciaal belang voor jouw bedrijf?

Hobbymatig
Informatief
Cruciaal
2

Voor welke toepassing heb je hosting nodig?

Wil je een website, webshop of (maatwerk) applicatie hosten?

Website
Webshop
Applicatie
3

Moet de hosting kunnen schalen?

Heb je veel te maken met pieken en dalen? bijvoorbeeld tijdens vakantie periode's, black friday, mailings, kerst etc?

Nee
Soms
Regelmatig
4

Hoeveel bezoekers komen er per dag op jouw website?

Dit is erg bepalend voor het type hosting.

Geen idee
Minder dan 1000
Meer dan 1000
5

Wat voor maandbudget heb je voor hosting?

Wij kunnen vrijwel altijd een passende oplossing bieden voor ieder budget.

€€
€€€
6

Wil je (of jouw team) zelf aan de knoppen zitten?

Heb je zelf veel technische kennis? Of wil je graag complete onzorging?

Nooit
Liever niet
Graag
7

Wie draagt (bij voorkeur) verantwoordelijkheid voor jouw hosting

Kom je zelf in actie bij calamiteiten? Of laat je dit aan ons over?

Ikzelf
Gezamelijk
Hostingpartij
Vragenlijst afronden

Bedankt voor het invullen!

Er is iets mis, we kunnen op basis van jouw keuzes geen advies geven.

Neem even telefonisch contact met ons op: 088-8788900 of stuur een e-mail naar sales@cobytes.com.

Het lijkt erop dat je een managed VPS nodig hebt.

Jouw eisen aan hosting zijn hoog, dit vereist een maatwerk oplossing, bijvoorbeeld een High-Available cluster.

Vul onderstaand formulier in om jouw persoonlijke advies te ontvangen. Geen zorgen, je zit nergens aan vast. Ons advies is geheel vrijblijvend!

Formulier laden...