Snel antwoord: Is je WordPress website gehackt, zet hem dan eerst in onderhoudsmodus of offline, verander alle wachtwoorden en maak een back-up van de huidige staat. Scan daarna op malware, verwijder onbekende bestanden en admingebruikers, herstel een schone back-up en update WordPress, je thema en alle plugins. Sluit af met beveiliging zodat het niet opnieuw gebeurt. Kom je er niet uit, schakel dan snel hulp in.
Je opent je eigen site en er klopt iets niet. Vreemde teksten op de homepage, bezoekers die ineens naar een gokwebsite worden gestuurd of een waarschuwing van Google dat je pagina onveilig is. Een WordPress website gehackt krijgen voelt als thuiskomen en de voordeur open vinden staan. Het goede nieuws: in de meeste gevallen is het te herstellen en vaak sneller dan je denkt. In dit artikel lopen we stap voor stap met je mee, van eerste hulp tot het dichttimmeren van de boel.
Hoe weet je of je WordPress website gehackt is?
Niet elke storing is een hack. Soms is het gewoon een plugin die ruzie maakt met een update. Maar er zijn signalen die je serieus moet nemen.
Je site is waarschijnlijk gehackt als je een of meer van deze dingen ziet:
- Bezoekers worden doorgestuurd naar een vreemde website (de beruchte redirect-hack)
- Er staan teksten, advertenties of links op je pagina's die je er nooit op hebt gezet
- Je kunt niet meer inloggen, terwijl je zeker weet dat je wachtwoord klopt
- Er zijn nieuwe admingebruikers aangemaakt die je niet kent
- Google toont een rood waarschuwingsscherm of meldt "Deze site kan schadelijk zijn"
- Je host heeft je site geschorst wegens verdachte activiteit of spam-mails
- De site is plotseling loodzwaar of compleet offline
Twijfel je? Een gratis scan via tools als Sucuri SiteCheck of de Google Search Console (Google Search Console uitleg) laat snel zien of er malware of een blacklist-melding actief is. Zie je niks geks maar voelt het toch niet goed, vertrouw dan op dat gevoel en duik in de logs. Een gehackte site verraadt zich bijna altijd ergens.
Wat moet je als eerste doen bij een gehackte WordPress website?
Hier telt elke minuut, maar paniekvoetbal maakt het meestal erger. Volg deze volgorde en je houdt het overzicht. Dit is het stappenplan dat wij zelf aanhouden bij een gehackte WordPress website herstellen.
Stap 1: Zet de site in onderhoudsmodus of haal hem offline
Zolang de hack live staat, kan hij bezoekers besmetten en jouw reputatie bij Google verder beschadigen. Zet de site in onderhoudsmodus of laat je host hem tijdelijk op slot zetten. Zo stopt de schade en heb je rust om te werken.
Stap 2: Verander alle wachtwoorden
En dan bedoelen we alles. Je WordPress-admin, je hostingaccount, je FTP/SFTP, je database en het e-mailadres dat aan je beheerdersaccount hangt. Gebruik nieuwe, lange wachtwoorden die je nergens anders gebruikt. Een wachtwoordmanager scheelt hier een hoop kopzorgen.
Stap 3: Maak een back-up van de besmette site
Klinkt gek, een back-up van een gehackte site. Toch is het slim: je hebt bewijs nodig en je wilt later kunnen vergelijken welke bestanden zijn aangepast. Bewaar deze kopie apart en zet hem nooit zomaar terug.
Stap 4: Scan op malware en kwaadaardige bestanden
Installeer een beveiligingsplugin zoals Wordfence of MalCare en draai een volledige scan. Let extra op recent gewijzigde bestanden, vreemde code in de wp-config.php, de .htaccess en in de thema-bestanden. Hackers verstoppen hun code graag op plekken waar je niet snel kijkt.
Stap 5: Verwijder onbekende admingebruikers en verdachte bestanden
Loop je gebruikerslijst na en gooi elk account weg dat je niet herkent. Verwijder de bestanden die de scan als kwaadaardig markeert. Twijfel je over een bestand, verwijder het dan niet blind, maar zoek eerst uit wat het doet.
Stap 6: Herstel een schone back-up
Heb je een back-up van vóór de hack? Dan ben je goud waard. Zet die terug en je site is in één klap weer schoon. Geen schone back-up? Dan moet je de besmette installatie handmatig opschonen, en dat is precies het punt waarop veel mensen vastlopen.
Stap 7: Update alles en sluit het gat
Update WordPress zelf, je thema en al je plugins naar de nieuwste versie. Verwijder plugins en thema's die je niet gebruikt. De meeste hacks komen binnen via een verouderde plugin met een bekende kwetsbaarheid, dus dit is geen optionele stap.
Hoe verwijder je malware van een WordPress site zonder schone back-up?
Geen back-up van vóór de hack? Dan wordt het handwerk. WordPress malware verwijderen betekent in dit geval dat je de kern, het thema en de plugins vervangt door verse, officiële bestanden.
Download een nieuwe kopie van WordPress via wordpress.org en vervang alle kernbestanden, behalve de map wp-content en je wp-config.php. Doe daarna hetzelfde met je thema en plugins: weghalen en opnieuw installeren via de officiële bron. De wp-content/uploads-map is lastiger, want daar staan je eigen afbeeldingen tussen de mogelijke rotzooi. Hier moet je gericht zoeken naar PHP-bestanden die er niet horen, want in een uploadmap hoort geen uitvoerbare code te staan.
Vergeet de database niet. Hackers planten soms code of spam-content in tabellen. Een grondige scan en een blik op je gebruikerstabel zijn hier op hun plek. Eerlijk? Dit is het deel waar het echt technisch wordt. Mis je één verstopt achterdeurtje, dan staat de hacker volgende week gewoon weer binnen.
Veelgemaakte fouten na een hack
We zien steeds dezelfde missers en ze kosten mensen vaak een tweede hack.
- Alleen de zichtbare schade opruimen. Je haalt de rare tekst van de homepage en denkt dat het klaar is. De achterdeur die de hacker plaatste, staat dan nog wagenwijd open.
- Wachtwoorden niet écht allemaal veranderen. Je vernieuwt je admin-wachtwoord, maar vergeet FTP of de database. Eén vergeten sleutel is genoeg.
- Geen idee hoe ze binnenkwamen. Zonder de oorzaak te vinden, dweil je met de kraan open. Zoek altijd het lek voordat je tevreden achteroverleunt.
- De site te snel weer online zetten. Te vroeg live gaan terwijl Google je nog op de blacklist heeft, schaadt je vindbaarheid langer dan nodig.
Hoe voorkom je dat je WordPress website opnieuw gehackt wordt?
Herstellen is één ding, voorkomen is veel goedkoper. Een gehackte site kost je tijd, geld en soms klanten. Met deze basis houd je je WordPress website beveiligen tegen hackers in eigen hand:
- Houd alles up-to-date. WordPress, ontwikkeld door Automattic, brengt regelmatig beveiligingsupdates uit. Plugins en thema's idem. Verouderde software is reden nummer één voor een hack.
- Installeer een firewall en beveiligingsplugin. Wordfence of Sucuri houden brute-force-aanvallen en bekende exploits buiten de deur.
- Gebruik sterke wachtwoorden en tweestapsverificatie. Een wachtwoord als "welkom123" is een uitnodiging.
- Maak automatische back-ups. Dagelijks of wekelijks, en bewaar ze los van je server. Met een verse back-up is een hack een ongemak in plaats van een ramp.
- Verwijder wat je niet gebruikt. Elke ongebruikte plugin is een extra deur die op slot moet blijven.
- Kies een betrouwbare host met monitoring. Een host die verdachte activiteit opmerkt, geeft je een voorsprong.
Klinkt dit als veel werk? Dat is het ook. Daarom besteden veel ondernemers dit uit aan iemand die er elke dag mee bezig is.
Zelf herstellen of uitbesteden, wat is slimmer?
Dat hangt af van twee dingen: hoeveel technische kennis je hebt en hoeveel je site je waard is per dag offline. Een hobbyblog kun je rustig zelf oppakken. Een webshop die dagelijks bestellingen binnenhaalt, niet.
| Zelf herstellen | Uitbesteden | |
|---|---|---|
| Kosten | Alleen je tijd | 150 tot 600 euro afhankelijk van de hack |
| Doorlooptijd | Uren tot dagen, met veel zoekwerk | Vaak binnen een dag opgelost |
| Risico op herhaling | Hoog als je het lek mist | Laag, het gat wordt gericht gedicht |
| Geschikt voor | Eenvoudige hack, schone back-up aanwezig | Webshop, geen back-up, of geen tijd |
Een voorbeeld uit de praktijk. Een lokale ondernemer belde ons omdat zijn klanten ineens op een nepwebshop belandden. Een klassieke redirect-hack, binnengekomen via een verouderde contactformulier-plugin. Hij had het zelf geprobeerd, de zichtbare redirect weggehaald en gedacht dat het klaar was. Twee dagen later stond de hack er weer, want de achterdeur in een themabestand had hij over het hoofd gezien. Wij vonden het lek, schoonden de installatie op en hadden hem dezelfde middag weer veilig online. Sindsdien draait zijn site op automatisch onderhoud en is het rustig gebleven.
De les: de zichtbare schade is zelden het hele verhaal. En precies daar zit het verschil tussen even opruimen en echt oplossen.
Wanneer schakel je hulp in bij een gehackte website?
Eerlijk antwoord: zodra je merkt dat je over je hoofd groeit. Een redirect-hack opruimen is voor een leek al lastig, een database opschonen of een verstopte achterdeur vinden is echt vakwerk. En als je site inkomsten oplevert, telt elke dag offline dubbel.
Bij rscreate hebben we hier een aparte dienst voor: Website EHBO. Geen abonnement, geen gedoe, gewoon iemand die bijspringt als je site eruit ligt of gehackt is. We scannen, schonen op, sluiten het lek en zetten je weer veilig online. Daarna leggen we precies uit hoe het misging, zodat je het de volgende keer voor bent.
Zit je nu met een gehackte WordPress website en wil je het niet zelf uitvechten? Bel ons gerust op 06 13 30 42 85 of vraag direct hulp aan via onze Website EHBO-pagina. We pakken het snel op, want een gehackte site wacht niet op kantooruren.
Conclusie
Een WordPress website gehackt krijgen is vervelend, maar zelden het einde van de wereld. Werk gestructureerd: eerst de schade stoppen, dan opschonen, herstellen en het lek dichten. De grootste valkuil is denken dat je klaar bent zodra de zichtbare rotzooi weg is. Vind het gat, anders ben je volgende maand weer aan de beurt. Loop je vast of wil je gewoon zeker weten dat het goed gebeurt? Dan staan we voor je klaar met onze Website EHBO, snel en zonder verplicht abonnement.
Veel gestelde vragen
Je website is waarschijnlijk gehackt als bezoekers worden doorgestuurd naar vreemde sites, er onbekende content of links verschijnen, je niet meer kunt inloggen of Google een waarschuwing toont. Een gratis scan via Sucuri SiteCheck of een check in Google Search Console bevestigt het snel.
Zet de site in onderhoudsmodus of haal hem offline, verander al je wachtwoorden en maak een back-up van de besmette staat. Pas daarna ga je scannen en opschonen. Die volgorde voorkomt dat de schade zich verder verspreidt terwijl je bezig bent.
Met een schone back-up van vóór de hack kun je veel zelf herstellen door die terug te zetten en alles te updaten. Zonder back-up wordt het technisch lastig, omdat je handmatig malware moet verwijderen en de achterdeur moet vinden. Twijfel je, schakel dan hulp in.
Het herstellen van een gehackte WordPress website kost doorgaans tussen de 150 en 600 euro, afhankelijk van de omvang van de hack en of er een bruikbare back-up is. Bij rscreate werken we zonder verplicht abonnement, dus je betaalt voor de hulp die je nodig hebt.
Een eenvoudige hack met een goede back-up is vaak binnen een paar uur opgelost. Een grondige opschoning zonder back-up, inclusief het vinden van het lek, kan een dag of langer kosten. Snel ingrijpen verkort de hersteltijd flink.
De meeste hacks komen binnen via een verouderde plugin, een zwak wachtwoord of een onveilige host. Hackers scannen automatisch op bekende kwetsbaarheden, dus het is zelden persoonlijk. Up-to-date software en sterke wachtwoorden sluiten de meeste deuren.
Houd WordPress, je thema en plugins altijd up-to-date, gebruik een firewall en sterke wachtwoorden met tweestapsverificatie en maak automatische back-ups. Verwijder wat je niet gebruikt en kies een host met monitoring. Structureel onderhoud is je beste verzekering.
Bronnen
- WordPress.org, "Hardening WordPress" (2025): https://wordpress.org/documentation/article/hardening-wordpress/
- WordPress.org, "FAQ: My site was hacked" (2025): https://wordpress.org/documentation/article/faq-my-site-was-hacked/
- Google Search Central, "Hacked content & how to recover" (2025): https://developers.google.com/search/docs/monitor-debug/security/overview



