Inloggen
Registreren

DDoS-bescherming voor je MKB-website of webshop in 2026: zo bouw je een betaalbaar verdedigingsplan

INHOUD

    In het vierde kwartaal van 2025 alleen al detecteerde de Nederlandse NaWas 1.918 DDoS-aanvallen op aangesloten organisaties. Een kwartaal eerder waren dat er nog 1.406. Cloudflare blokkeerde wereldwijd 21,3 miljoen DDoS-aanvallen in 2024, een stijging van 53 procent ten opzichte van het jaar ervoor. En de grootste ooit gemeten aanval, 7,3 terabits per seconde, vond plaats in mei 2025. De cijfers gaan harder dan de meeste MKB-ondernemers beseffen.

    Het ongemakkelijke nieuws: DDoS-aanvallen zijn allang geen probleem meer van alleen banken, hyperscalers en grote webshops. Door de opkomst van zogenoemde DDoS-as-a-Service-platforms huurt een onbekende boze ex-medewerker of een opportunistische concurrent voor een paar tientjes per uur een aanval in. Een MKB-website met een paar duizend bezoekers per dag is daarmee net zo eenvoudig te bereiken als die van de Postcode Loterij. In deze gids leggen we uit wat een DDoS-aanval is, waarom je als MKB nu doelwit bent, en hoe je je in vijf lagen verdedigt zonder een enterprise-budget.

    Wat is een DDoS-aanval eigenlijk?

    DDoS staat voor Distributed Denial of Service. Het idee is simpel: een aanvaller stuurt vanaf duizenden of soms miljoenen besmette computers tegelijkertijd verkeer naar jouw website, met als doel je server, je netwerkverbinding of een specifieke applicatie te overbelasten. Echte bezoekers krijgen vervolgens een time-out, een wit scherm, of een 503-foutmelding. Geen omzet, geen leads, geen vertrouwen.

    De aanvallen vinden plaats op drie verschillende lagen van het netwerk, en de mitigatie verschilt per laag. Wie alleen een Web Application Firewall installeert verdedigt zich tegen één laag en is blind voor de andere twee. Een korte uitleg per type:

    • Volumetrische aanvallen. Aanvallers vullen je bandbreedte met nutteloos verkeer, vaak via UDP-floods of zogenoemde amplification-aanvallen waarbij een klein verzoek bij een tussenpartij een groot antwoord oplevert dat naar jou wordt teruggestuurd. De grootste aanvallen meten inmiddels meerdere terabits per seconde, ver buiten het bereik van wat een gemiddelde server zelfstandig kan absorberen.
    • Protocol-aanvallen. Hier wordt niet zozeer je bandbreedte als wel je serverresources opgegeten. Klassieke voorbeelden: TCP SYN-floods en de altijd populaire DNS Amplification. In het derde kwartaal van 2025 was DNS Amplification volgens de NaWas-cijfers nog steeds 26 procent van alle Nederlandse DDoS-aanvallen.
    • Applicatie-aanvallen (laag 7). Dit is waar het MKB het vaakst geraakt wordt. De aanvaller stuurt schijnbaar legitiem HTTP-verkeer, bijvoorbeeld eindeloos /winkelmandje/checkout opvragen, totdat je PHP-workers vastzitten en de site staat. In hetzelfde kwartaal stonden DNS- en HTTP-floods op laag 7 op 28 procent van alle aanvallen. Layer 7-aanvallen zijn de afgelopen twee jaar met 104 procent gestegen volgens Akamai.

    De drie types vragen om drie verschillende mitigatietechnieken die elkaar aanvullen. Een goede bescherming bouw je in lagen, niet in één losse tool.

    Waarom een MKB-website of webshop nu doelwit is

    De drempel om een DDoS-aanval te kopen is de afgelopen jaren spectaculair gedaald. Op de zwartere randen van het internet vind je DDoS-as-a-Service-platforms (vaak gepresenteerd als “stresser” of “booter”) waar je voor 5 tot 50 euro een aanval van enkele minuten tot een uur huurt. Achter die platforms zitten gigantische botnets met namen als Kimwolf en Aisuru, die routers, IoT-camera’s, zelfs koelkasten misbruiken om verkeer te genereren.

    De motieven verschillen, maar zijn allemaal pijnlijk concreet voor het MKB:

    • Concurrentie-sabotage. Een concurrerende webshop laat jouw site een week plat in de aanloop naar Black Friday of een productlancering. Vijftig euro investering, duizenden euro’s omzetschade aan jouw kant.
    • Afpersing. Een korte testaanval, gevolgd door een e-mail met een Bitcoin-bedrag. Betaal of we slopen je site een week lang elk uur even.
    • Politieke of ideologische redenen. Een controversiële klant, een omstreden uitspraak van de eigenaar, een sector die in het nieuws ligt.
    • Bijschade. Soms ben je gewoon de buurman op een gedeelde hostingomgeving die zelf het doelwit was. Als de hoster slecht is opgebouwd, deel je de gevolgen.

    Onderzoek van NBIP en SIDN schat dat DDoS-aanvallen het Nederlandse bedrijfsleven en de overheid jaarlijks meer dan een miljard euro aan omzetverlies zouden kosten zonder de huidige mitigatie. Voor een MKB-webshop met een dagomzet van een paar duizend euro betekent een aanval van enkele uren al snel een serieuze schadepost, los van de imagoschade en het gedoe met klanten die hun bestelling niet kunnen plaatsen.

    De vijf lagen van DDoS-bescherming voor het MKB

    Een betaalbare maar serieuze verdediging bouw je in vijf opeenvolgende lagen. Hoe verder de aanval al binnen is gekomen, hoe duurder en moeilijker het wordt om hem te stoppen. Het doel is dus om zo veel mogelijk verkeer aan de buitenste rand te filteren.

    Laag 1. Netwerkmitigatie op het datacenter zelf

    De eerste en belangrijkste vraag is wat er bij je hoster of in het datacenter automatisch aan volumetrische bescherming actief is. Grote, professionele datacenters hebben aan de rand van hun netwerk apparatuur staan die enorme hoeveelheden bekend-slecht verkeer wegfiltert voordat het ooit jouw server bereikt. Bij PC Patrol draaien onze Cloud VPS en Managed Webhosting in een modern Duits datacenter waar netwerk-niveau DDoS-bescherming standaard aan staat, zonder extra kosten. Dat dempt het overgrote deel van de volumetrische aanvallen voordat jij er iets van merkt.

    Vraag bij je huidige hoster expliciet: is er netwerkmitigatie aan de datacenter-rand, hoeveel Tbps kan die hebben, en is dit inbegrepen of pay-per-incident? Hosters die deze vraag niet helder kunnen beantwoorden, hebben het waarschijnlijk niet of niet goed geregeld.

    Laag 2. Een CDN of reverse proxy ervoor

    Een Content Delivery Network zoals Cloudflare, BunnyCDN of Fastly zet zich tussen het publieke internet en jouw server. Bezoekers komen niet meer direct op jouw IP-adres uit, maar op het wereldwijde netwerk van het CDN. Aanvalsverkeer wordt verdeeld over honderden punten en kan daar gefilterd worden. Bijkomend voordeel: je site laadt sneller doordat statische content vlakbij de bezoeker wordt aangeboden.

    Belangrijk hierbij is dat je je origin-IP daadwerkelijk verbergt. Veel mensen zetten Cloudflare wel voor hun site, maar laten via DNS of via oude records het oude server-IP nog vindbaar. Een aanvaller die dat IP achterhaalt, valt gewoon rechtstreeks aan en omzeilt de CDN-bescherming compleet. Controleer met tools als crimeflare of shodan of jouw werkelijke server-IP nog ergens lekt.

    Laag 3. Web Application Firewall en bot-management

    Tegen laag 7-aanvallen helpt geen volumetrische filter, want het verkeer ziet er per pakketje gewoon uit als een echte browser. Hier komt een Web Application Firewall in beeld die op applicatieniveau snapt wat normaal verkeer is en wat niet. Op onze Managed Webhosting en Managed WordPress Hosting draait standaard Imunify360, dat per request beoordeelt of het verzoek legitiem is, kwaadaardige patronen blokkeert, en kwaadaardige bots tegenhoudt.

    Voor wie zelf een Cloud VPS beheert is CrowdSec een sterke open-source optie die gedrag analyseert en samen met een wereldwijde community blocklist werkt. Wie verder wil gaan combineert dit met fail2ban op SSH en een aparte WAF zoals ModSecurity of de cloud-WAF van Cloudflare.

    Laag 4. Slimme rate limiting per endpoint

    Statische rate limiting van het type “maximaal 100 requests per minuut per IP” werkt voor brute kracht, maar niet voor moderne aanvallen die vanaf duizenden IP-adressen tegelijk komen. Onderzoek wijst uit dat zo’n 60 procent van de DDoS-aanvallen alleen tegen te houden is met gedragsgebaseerde detectie die patronen herkent in plaats van enkel volume tellen. Wat je in 2026 wilt is per endpoint nadenken over wat normaal verkeer is.

    Concrete voorbeelden: een loginpagina mag van één IP maximaal 5 pogingen per minuut zien. Een checkoutpagina mag per sessie zinvolle stappen tonen, maar niet 200 keer per minuut opnieuw geladen worden. Een XML-sitemap mag dagelijks honderden keren door legitieme crawlers worden opgevraagd, een wp-login.php niet. Zowel Cloudflare als nginx (voor Cloud VPS-gebruikers) als WordPress-plugins zoals Wordfence ondersteunen dit soort regels.

    Laag 5. Monitoring, alerting en een incident-runbook

    Een belangrijk inzicht uit recente DDoS-rapporten: korte aanvallen van 2 tot 3 minuten zijn nu de norm voor zogenoemde “shock and awe”-pieken. Tegen de tijd dat je handmatig actie wilt ondernemen, is de aanval alweer voorbij of net begonnen met de volgende variant. Geautomatiseerde respons binnen seconden is dus geen luxe meer, het is het minimum.

    Zet daarom uptime-monitoring op (bijvoorbeeld UptimeRobot of Better Stack) die binnen een minuut signaleert dat je site onbereikbaar wordt. Zorg dat je een runbook hebt liggen met de stappen die je dan zet: wie bel je, welke CDN-regel zet je tijdelijk aan, hoe maak je een statuspagina live om klanten te informeren. Een runbook van één A4 is honderd keer zo nuttig als geen plan op een vrijdagavond.

    Concrete checklist: dit kun je deze week regelen

    Voor wie nu denkt “ja oké, maar waar begin ik dan?”, hier de praktische checklist voor de komende vijf werkdagen. Geen enterprise-budget nodig, wel een paar uur per dag aandacht.

    1. Vraag bij je hoster expliciet om uitleg over hun DDoS-mitigatie. Geen helder antwoord of een “dat hebben we niet”? Plan een overstap. Voor de meeste MKB-websites is een hoster met netwerk-niveau bescherming aan de rand inbegrepen het belangrijkste verschil tussen wel of niet bereikbaar zijn tijdens een aanval.
    2. Zet een CDN voor je site. Cloudflare heeft een gratis tier die voor de meeste MKB-sites prima volstaat en al een serieus basisniveau aan DDoS-bescherming biedt. Verberg daarna actief je origin-IP en check of het niet alsnog lekt.
    3. Activeer rate limiting op login-, registratie- en checkout-endpoints. Op WordPress doe je dit via plugins zoals Wordfence of via een rule in Cloudflare. Op Cloud VPS via nginx-configuratie of een WAF.
    4. Zet uptime-monitoring aan die je via e-mail, SMS of Slack waarschuwt zodra je site onbereikbaar wordt. Mik op een alert-tijd onder de 60 seconden. Gratis tot 50 monitors bij UptimeRobot.
    5. Schrijf een runbook van één A4. Wat doe je in het eerste uur na een DDoS-melding? Welke knop zet je om, wie informeer je intern, hoe communiceer je naar klanten? Houd het simpel, sla het op waar je het terugvindt.

    Met deze vijf stappen heb je in een paar uur 80 procent van de eenvoudige DDoS-aanvallen al ondervangen. De resterende 20 procent zijn de slimmere, gerichte aanvallen waar je een professionele partner voor wilt.

    Wil je weten of jouw site bestand is tegen een DDoS-aanval?

    Onze Cloud VPS draait in een Duits datacenter met netwerk-niveau DDoS-bescherming standaard inbegrepen, plus NVMe-opslag, root-toegang en gratis migratie. Twijfel je over welke setup past, of wil je eerst sparren over jouw situatie?

    Bekijk onze Cloud VPS Plan een gratis adviesgesprek

    Wat kost DDoS-bescherming voor het MKB in 2026?

    Eerlijk antwoord: minder dan de meeste ondernemers denken, mits je niet alles enterprise-grade hoeft te hebben. Een paar realistische richtbedragen:

    • Cloudflare Free: 0 euro per maand, inclusief basis-DDoS-bescherming en WAF-functies voor één site. Voor de meeste brochure-websites en kleine webshops voldoende.
    • Cloudflare Pro: ongeveer 20 euro per maand per site (Cloudflare factureert in dollars), met uitgebreidere WAF-regels, betere rate limiting en image-optimalisatie.
    • Managed Webhosting bij een goede hoster: vanaf ongeveer 10 tot 25 euro per maand, waarbij netwerk-niveau bescherming en Imunify360 standaard ingebouwd zijn. Een veel kleinere stap dan een aparte CDN-licentie.
    • Cloud VPS met eigen WAF-configuratie: vanaf 15 tot 30 euro per maand voor de server zelf, waarbij open-source componenten als CrowdSec, fail2ban en nginx rate limiting geen extra kosten met zich meebrengen.
    • Specialistische anti-DDoS-providers (Arbor, Radware, Akamai): voor de meeste MKB-bedrijven overkill, prijspunten vanaf honderden euro’s per maand. Pas relevant bij sites met aantoonbaar hoge omzet en duidelijk verhoogd risicoprofiel.

    Voor de meeste MKB-websites is de combinatie van een hoster met netwerkmitigatie plus Cloudflare ervoor de juiste balans tussen kosten en risico. Een paar tientjes per maand totaal, en je hebt 95 procent van wat een groot bedrijf voor duizenden euro’s inkoopt.

    Veelgestelde vragen over DDoS-bescherming

    Hoe lang duurt een DDoS-aanval gemiddeld?

    De meeste aanvallen vandaag zijn kort en intens: tussen de 2 en 15 minuten, soms gevolgd door een nieuwe golf een uur later. Klassieke uren- of dagenlange aanvallen komen nog voor, maar zijn relatief zeldzaam geworden. Kort betekent niet onschuldig: een aanval van 5 minuten op je checkout tijdens een drukke verkoopdag kost makkelijk een paar duizend euro omzet en een hoop boze klanten.

    Is een goedkope hoster wel veilig genoeg tegen DDoS?

    Niet automatisch. Wat je betaalt bepaalt vaak ook hoe je hoster zijn netwerk inricht. Bij budgethosters zit DDoS-mitigatie soms niet of alleen als duurbetaalde add-on, en zit je vaak op een gedeeld IP met klanten die zelf doelwit kunnen zijn. We schreven hier eerder over in Goedkope VPS en de verborgen kosten. Vraag bij twijfel altijd om een schriftelijke bevestiging van wat er wel en niet inbegrepen is.

    Beschermt Cloudflare in zijn eentje voldoende?

    Voor veel kleine sites is Cloudflare een grote verbetering, maar het is geen wondermiddel als je origin-IP nog ergens vindbaar is. Aanvallers die jouw werkelijke server vinden, vallen daar direct aan en omzeilen Cloudflare compleet. Combineer Cloudflare daarom altijd met een hoster die ook op netwerkniveau bescherming biedt, en check actief of je origin niet uitlekt via DNS-historie, mail-records of subdomeinen.

    Wat moet ik doen op het moment dat ik een DDoS-aanval merk?

    Vier stappen, in deze volgorde: (1) bevestig dat het echt een DDoS is en geen interne storing, via een uptime-monitor en een externe ping. (2) Zet de “I’m under attack”-modus van je CDN aan, of laat je hoster dit doen. (3) Plaats een korte update op je social media of een statuspagina richting klanten. (4) Bewaar logs, want na de aanval wil je analyseren wat er gebeurde en eventueel aangifte doen bij de politie via het Landelijk Meldpunt Cybercrime.

    Kan ik aangifte doen van een DDoS-aanval?

    Ja. Een DDoS-aanval is strafbaar onder artikel 138b van het Wetboek van Strafrecht (computervredebreuk en het belemmeren van een geautomatiseerd werk). Doe aangifte bij de politie en verzamel zoveel mogelijk bewijs: logs van je hoster, screenshots van monitoring-tools, en eventuele afpersingsmails. De pakkans is niet groot, maar bij grotere aanvallen draait het Team High Tech Crime soms wel mee.

    Samengevat: DDoS-bescherming voor het MKB is haalbaar én betaalbaar

    De cijfers laten geen ruimte voor twijfel: DDoS-aanvallen op het Nederlandse MKB nemen toe in aantal, in complexiteit en in snelheid. Tegelijk is de drempel om iets te doen lager dan ooit. Met een hoster die netwerkmitigatie inbegrepen heeft, een CDN ervoor, slimme rate limiting op gevoelige endpoints, een Web Application Firewall en een eenvoudig runbook, ondervang je het overgrote deel van de aanvallen voor minder dan 30 euro per maand. Wachten tot het misgaat is in 2026 simpelweg geen verantwoorde keuze meer.

    Wil je sparren over hoe je dit voor jouw site of webshop inricht, of overstappen naar een hostingomgeving waar DDoS-mitigatie standaard meegeleverd wordt? Onze Cloud VPS draait in een Duits datacenter met netwerk-niveau bescherming aan de rand, NVMe-opslag en root-toegang. Voor wie het beheer liever uit handen geeft, biedt onze Managed Webhosting dezelfde infrastructuur met Imunify360-WAF standaard ingebouwd. Plan een vrijblijvend adviesgesprek en we kijken graag mee.

    Verder lezen op de PC Patrol blog

    Tik je bedrijfsnaam in en check de extensies.

    Eén afrekening, drie domeinen, volledige bescherming.
    Domein zoeken

    Misschien ook interessant

    Bedrijf

    Pinksterweekend 2026: 7 cyberrisico’s die het MKB onderschat (en hoe je je binnen een uur wapent)

    Een lang Pinksterweekend is voor het MKB een welkome adempauze, maar voor cybercriminelen een uitgelezen kans. Onderzoek laat...

    Chris 22 mei 2026 7 min
    AI

    AI agents zelf hosten op een Cloud VPS: een privacy-vriendelijk alternatief voor cloud-AI in 2026

    AI agents zelf hosten op een Cloud VPS als privacy-vriendelijk alternatief voor cloud-AI. Welke frameworks (LangGraph, n8n, Letta),...

    Chris 4 mei 2026 12 min
    Cloud VPS

    VPS backup strategie 3-2-1-1-0 in 2026: van snapshot tot immutable off-site replica

    58% van Nederlandse ransomware-slachtoffers had geen werkende backup. Zo zet je in 2026 een 3-2-1-1-0 backup-strategie op voor...

    Chris 21 mei 2026 8 min