WordPress website gehackt? Dit moet je doen

Je WordPress site gedraagt zich vreemd. Er staan berichten die je niet hebt geschreven, je ziet onbekende gebruikers, of je wordt doorgestuurd naar rare websites. Waarschijnlijk is je site gehackt.

Dit is geen reden voor paniek. Duizenden WordPress sites worden dagelijks gehackt, maar met de juiste stappen krijg je je site weer schoon en veilig.

In deze gids leer je hoe je een hack herkent, hoe je je site schoonmaakt en hoe je toekomstige hacks voorkomt.

Signalen dat je WordPress site gehackt is

Dit zijn de meest voorkomende tekenen van een gehackte WordPress site:

Onbekende gebruikers in je WordPress admin - Je ziet admin accounts die je niet hebt aangemaakt. Hackers maken vaak nieuwe admin accounts aan voor toekomstige toegang.

Vreemde posts of pagina's - Er staan berichten met spam links, vaak in het Russisch, Chinees of met casino/medicijn reclames.

Redirects naar andere websites - Je site stuurt bezoekers automatisch door naar spam sites, vaak alleen bij Google bezoekers.

Google waarschuwing - Google toont een rode waarschuwing "This site may be hacked" of "Deceptive site ahead" in zoekresultaten.

Site is traag of crasht - Malware gebruikt je server resources om spam te versturen of DDoS aanvallen uit te voeren.

Onbekende bestanden via FTP - Je ziet nieuwe bestanden die je niet hebt geüpload, vaak met namen als "wp-config-backup.php" of random karakters.

Hosting account opgeschort - Je hosting provider heeft je site offline gehaald vanwege malware of spam activiteit.

Veranderde admin wachtwoorden - Je kunt niet meer inloggen omdat je wachtwoord is veranderd.

Herken je één of meer van deze signalen? Dan is je site waarschijnlijk gecompromitteerd.

Stap 1: Blijf kalm en isoleer de schade

Voordat je iets doet, neem deze stappen:

Haal je site NIET offline - Laat je site online tenzij hij actief schadelijk is (malware verspreidt of kredietkaartgegevens steelt). Je hebt de live site nodig om te analyseren.

Waarschuw niemand nog niet - Vertel bezoekers en klanten pas over de hack als je weet wat er is gebeurd. Paniek helpt niemand.

Verander wachtwoorden op een VEILIG apparaat - Als je WordPress wachtwoord gecompromitteerd is, verander het dan vanaf een computer die zeker schoon is (niet die waarop je altijd inlogt).

Check andere sites - Als je meerdere sites op dezelfde hosting hebt, check ze allemaal. Hacks verspreiden zich vaak.

Stap 2: Maak een backup (ja, ook van de gehackte versie)

Dit klinkt vreemd, maar maak een backup van je gehackte site:

1. Download alle bestanden via FTP
2. Exporteer je database via phpMyAdmin
3. Sla dit op in een aparte map op je computer

Waarom? Omdat je tijdens het schoonmaken misschien iets verkeerd doet. Met een backup kun je terug. En je kunt de bestanden later analyseren om te zien hoe de hack gebeurde.

Heb je een oude, schone backup van vóór de hack? Bewaar die goed. Dat is je veiligheidsnet.

Stap 3: Scan je site op malware

Er zijn verschillende tools om malware te vinden:

Wordfence Security (plugin):

1. Installeer Wordfence Security
2. Ga naar Wordfence > Scan
3. Start een complete scan
4. Wordfence toont alle geïnfecteerde bestanden

Sucuri SiteCheck (online):

1. Ga naar Sucuri SiteCheck
2. Voer je website URL in
3. Bekijk de resultaten

MalCare (plugin):

1. Installeer MalCare
2. De plugin scant automatisch bij activatie

Deze tools vinden de meeste malware, maar niet alles. Handmatig checken is ook nodig.

Stap 4: Verwijder malware en backdoors

Nu weet je waar de malware zit. Zo verwijder je het:

Geïnfecteerde core bestanden:

1. Download een schone WordPress versie
2. Pak het ZIP bestand uit
3. Verwijder wp-content en wp-config.php uit de uitgepakte bestanden
4. Upload de rest via FTP (overschrijf de gehackte bestanden)

Dit vervangt alle WordPress core bestanden met schone versies.

Plugins:

1. Verwijder alle plugins die je niet gebruikt
2. Voor plugins die je houdt: verwijder ze en installeer opnieuw vanaf WordPress.org
3. Check plugin mappen via FTP op achtergebleven bestanden

Thema's:

1. Verwijder alle thema's behalve je actieve thema en één standaard thema
2. Download je actieve thema opnieuw van de ontwikkelaar
3. Vervang de thema bestanden via FTP

Uploads folder:

Malware verstopt zich vaak in /wp-content/uploads/. Check deze map via FTP op:

• .php bestanden (normaal staan hier alleen afbeeldingen)
• Verdachte bestandsnamen
• Recent toegevoegde bestanden die je niet herkent

Verwijder alles wat verdacht is.

Root folder:

Check de root van je site op onbekende bestanden:

• wp-config-backup.php
• wp-includes.php
• connection.php
• Random namen zoals "d7x4k.php"

Verwijder deze bestanden.

Stap 5: Schoon je database

Malware injecteert vaak code in je database:

Check wp_users tabel:

1. Log in op phpMyAdmin
2. Open je WordPress database
3. Ga naar de wp_users tabel
4. Verwijder onbekende admin accounts

Check wp_options tabel:

Zoek in wp_options naar vreemde waarden, vooral in:

• siteurl
• home
• admin_email
• active_plugins

Hackers veranderen deze soms om toegang te houden.

Search-Replace voor malware:

Malware kan JavaScript injecteren in al je posts. Gebruik Better Search Replace plugin:

1. Installeer de plugin
2. Zoek naar verdachte code (zoals base64_decode, eval, etc.)
3. Vervang dit door niets (leeg veld)

Let op: wees voorzichtig met search-replace. Test eerst op één post.

Stap 6: Verwijder alle onbekende gebruikers

Hackers maken vaak nieuwe admin accounts:

1. Ga naar Gebruikers in je WordPress admin
2. Sorteer op "Rechten" om alle Administrators te zien
3. Verwijder alle accounts die je niet herkent
4. Check ook de Subscriber accounts (hackers gebruiken soms low-level accounts als backdoor)

Verander daarna het wachtwoord van ALLE overige gebruikers, inclusief jezelf.

Stap 7: Update alles

Oude software bevat beveiligingslekken. Update meteen:

• WordPress core naar de nieuwste versie
• Alle plugins naar de nieuwste versie
• Je thema naar de nieuwste versie
• PHP versie van je hosting (minimaal 8.0)

Check in je hosting control panel welke PHP versie je draait. Upgrade naar PHP 8.1 of 8.2 voor betere beveiliging.

Stap 8: Versterk je beveiliging

Nu je site schoon is, voorkom toekomstige hacks:

Installeer een security plugin:

Kies één van deze plugins:

• Wordfence Security - gratis firewall en malware scanner
• iThemes Security - uitgebreide security features
• Sucuri Security - hardening en monitoring

Forceer sterke wachtwoorden:

Installeer Force Strong Passwords. Deze plugin dwingt alle gebruikers om sterke wachtwoorden te gebruiken.

Schakel two-factor authentication in:

Gebruik Two Factor Authentication plugin. Hiermee is een wachtwoord alleen niet genoeg om in te loggen.

Beperk login pogingen:

Installeer Limit Login Attempts Reloaded. Dit blokkeert IP adressen na te veel mislukte inlog pogingen.

Verberg wp-admin:

Verander de login URL van /wp-admin naar iets unieks met WPS Hide Login.

SSL certificaat:

Forceer HTTPS op je hele site. De meeste hosting providers bieden gratis SSL certificaten via Let's Encrypt.

Stap 9: Monitor je site

Blijf je site in de gaten houden:

Uptime monitoring:

Gebruik een service zoals:

• UptimeRobot (gratis)
• Pingdom (betaald)
• StatusCake (gratis tier)

Je krijgt dan direct een melding als je site offline gaat.

Google Search Console:

Meld je site aan bij Google Search Console. Google waarschuwt je als ze malware of spam detecteren.

Wordfence alerts:

Als je Wordfence gebruikt, zet dan email alerts aan voor:

• Login van nieuwe locaties
• Core bestands wijzigingen
• Plugin/thema wijzigingen

Regelmatige scans:

Scan je site wekelijks op malware. Maak een terugkerende taak in je kalender.

Stap 10: Neem contact op met Google

Als Google een waarschuwing toont bij je site:

1. Log in op Google Search Console
2. Ga naar Security Issues
3. Los alle gemelde problemen op
4. Klik op "Request Review"
5. Google checkt je site opnieuw (dit kan 3-5 dagen duren)

Na goedkeuring verdwijnt de waarschuwing uit zoekresultaten.

Preventie: hoe voorkom je hacks?

Dit zijn de belangrijkste preventiemaatregelen:

Maak dagelijkse backups - Gebruik een backup plugin die automatisch dagelijkse backups maakt en offsite opslaat. Bij een hack kun je snel terugdraaien.

Update binnen 24 uur - Installeer updates meteen. Hackers scannen actief op sites met bekende beveiligingslekken.

Gebruik sterke wachtwoorden - Minimaal 16 karakters, met cijfers, letters en symbolen. Gebruik een password manager zoals Bitwarden of 1Password.

Verwijder ongebruikte plugins en thema's - Elke plugin is een potentieel beveiligingslek. Houd alleen wat je echt gebruikt.

Check plugin/thema reviews - Voor je een plugin installeert, check:

• Laatste update (niet ouder dan 6 maanden)
• Aantal actieve installaties (populaire plugins zijn veiliger)
• Reviews en ratings
• Support forum (los je ontwikkelaar bugs op?)

Kies veilige hosting - Goedkope hosting heeft vaak slechte beveiliging. Managed WordPress hosting biedt betere bescherming.

Gebruik een firewall - Een Web Application Firewall (WAF) blokkeert kwaadaardig verkeer. Cloudflare biedt een gratis WAF voor alle sites.

Scan wekelijks - Gebruik Wordfence of MalCare om wekelijks automatisch te scannen.

Beperk gebruikerstoegang - Geef alleen mensen admin rechten die het echt nodig hebben. Gebruik Editor of Author rechten voor contentbeheerders.

Veelvoorkomende hack methoden

Zo komen hackers vaak binnen (zodat je het kunt voorkomen):

Brute force attacks - Ze proberen duizenden wachtwoorden tot er één werkt. Oplossing: sterke wachtwoorden + login limiet.

SQL injection - Ze misbruiken formulieren om database toegang te krijgen. Oplossing: update plugins, gebruik security plugin.

XSS attacks - Ze injecteren JavaScript in comments of formulieren. Oplossing: security plugin met XSS bescherming.

Oude plugins - Ze gebruiken bekende bugs in oude plugin versies. Oplossing: update alles binnen 24 uur.

Nulled themes - Gratis "premium" thema's downloaden van sketchy sites. Deze bevatten vaak malware. Oplossing: koop themes van betrouwbare bronnen.

FTP credentials - Ze stelen je FTP wachtwoord via phishing. Oplossing: gebruik SFTP in plaats van FTP, gebruik sterke wachtwoorden.

Hulp nodig?

Als je er niet uitkomt, zijn dit je opties:

Sucuri Website Cleanup - Betaalde service die je site professioneel schoonmaakt. Kost ongeveer $200-300 per keer.

Wordfence Premium - Bevat website cleanup service als onderdeel van het abonnement ($119/jaar).

Je hosting provider - Sommige WordPress hosts bieden gratis malware verwijdering. Check je hosting pakket.

WordPress developer - Huur een specialist in voor complexe hacks. Kost $50-150 per uur.

Herstel via backup - Als je een recente schone backup hebt, is dat vaak de snelste oplossing. Herstel de backup en update daarna alles.

Een gehackte WordPress site is vervelend, maar geen ramp. Met systematisch werk krijg je je site weer schoon. En met goede beveiliging voorkom je toekomstige hacks.

Veelgestelde vragen

Is WordPress gratis?

WordPress zelf is gratis open-source software. Je betaalt alleen voor hosting, een domeinnaam, en eventuele premium themes of plugins die je wilt gebruiken.

Hoe moeilijk is WordPress om te leren?

WordPress is relatief eenvoudig te leren. De basisfuncties kun je binnen een paar uur onder de knie krijgen. Voor geavanceerde aanpassingen is meer tijd nodig.

Kan ik WordPress later verhuizen naar een andere host?

Ja, WordPress websites kunnen worden verhuisd naar een andere hosting provider. De meeste providers bieden hiervoor gratis hulp aan.