Het maken van regelmatige back-ups is een fundamenteel onderdeel van goed websitebeheer en de eerste verdedigingslinie tegen ransomware of servercrashes. Echter, de manier waarop deze back-ups worden opgeslagen, vormt vaak een gigantisch beveiligingsrisico. Veel webshopeigenaren of geautomatiseerde plug-ins slaan back-upbestanden op in de publiek toegankelijke hoofdmap (root) van de website. Als een aanvaller de naam van dit bestand raadt, kan hij de volledige broncode en de database van uw WooCommerce-shop downloaden.

Waarom openbare back-ups een goudmijn zijn

Wanneer een back-up-plug-in een archief aanmaakt, bevat dit meestal een .zip of .tar.gz bestand met daarin:

  1. De volledige database: Inclusief de wp_users tabel met wachtwoordhashes van uw klanten en administrators, klantbestellingen, adresgegevens en plug-in-instellingen.

  2. De wp-config.php: Dit bestand bevat de database-inloggegevens in platte tekst, evenals de geheime authenticatiesleutels (salts).

Als een plug-in de back-up opslaat onder een voorspelbare naam, zoals backup-2026-06-28.zip, in de hoofdmap van de site, kan een hacker dit bestand direct via de browser downloaden: https://uwshop.nl/backup-2026-06-28.zip

Aanvallers maken gebruik van geautomatiseerde scanners die non-stop websites afzoeken naar honderden veelvoorkomende combinaties van back-upnamen (bijv. site_backup.zip, db.sql, wordpress.tar.gz). Zodra ze het bestand hebben gedownload, hebben ze alle data die ze nodig hebben zonder dat ze uw site hoeven te kraken.

Hoe u back-ups correct en veilig configureert

Regel 1: Sla back-ups nooit op in de publieke webroot

De belangrijkste regel is dat back-upbestanden buiten de public_html (of www) map moeten worden opgeslagen, zodat ze via HTTP/HTTPS onmogelijk te bereiken zijn. Als uw plug-in dit niet ondersteunt, zorg er dan voor dat de map waarin de back-ups staan strikt is beveiligd.

Regel 2: Beveilig de back-upmap met .htaccess

Als uw back-ups noodgedwongen binnen de wp-content/ map moeten staan, plaats dan direct een .htaccess bestand in die specifieke map om directe downloads te blokkeren:

Apache
 
Order deny,allow
Deny from all

Op een Nginx-server moet u de toegang handmatig blokkeren in het serverconfiguratiebestand:

Nginx
 
location ~* ^/wp-content/uploads/my-backups/.*$ {
    deny all;
}

Regel 3: Maak gebruik van externe cloudopslag

Configureer uw back-up-plug-in (zoals UpdraftPlus of Duplicator) zo dat het bestand direct na het aanmaken wordt geüpload naar een externe, beveiligde locatie (bijvoorbeeld Amazon S3, Google Cloud Storage of een beveiligde SFTP-server) en dat het tijdelijke bestand op de webserver onmiddellijk wordt verwijderd.

Conclusie

Een back-up is bedoeld om uw WooCommerce-winkel te redden, niet om deze bloot te stellen aan cybercriminelen. Controleer vandaag nog waar uw back-upbestanden worden opgeslagen en zorg ervoor dat de namen onvoorspelbaar zijn en de mappen hermetisch zijn afgesloten voor het publieke internet.