Malware op je WordPress-site: hoe pak je het aan zonder alles plat te leggen?
Een site met malware offline halen is de makkelijkste reactie — maar zelden de verstandigste. Voor een zelfstandige of KMO betekent downtime omzetderving, gemiste leads en bezoekers die afhaken. De uitdaging is om het probleem op te lossen zónder dat je site uren of dagen onbereikbaar is.
Dat vraagt een gestructureerde aanpak. Geen paniek, geen willekeurig bestanden verwijderen, maar stap voor stap.
Wat malware op een WordPress-site aanricht
Malware op WordPress-sites heeft verschillende vormen. De meest voorkomende zijn: bezoekers die worden doorgestuurd naar andere (vaak kwaadaardige) websites, spam die via je server wordt verstuurd — waardoor je domein op blacklists belandt — verborgen links naar andere sites die je SEO-score onderuithalen, en in ernstiger gevallen het stelen van klantgegevens of logindata.
Veel van deze infecties zijn wekenlang onzichtbaar. Je site lijkt normaal te functioneren, terwijl er achter de schermen van alles misgaat. Dat is ook waarom regelmatige scans zinvol zijn — niet alleen reageren als het zichtbaar is.
Hoe malware binnenkomt
De meest voorkomende oorzaken zijn verouderde plugins of thema’s met bekende kwetsbaarheden, gestolen of zwakke inloggegevens, en — minder voor de hand liggend — geïnfecteerde bestanden die via een nep-plugin of een gratis thema zijn binnengebracht.
Hackers gebruiken hiervoor geautomatiseerde scripts die het web afzoeken op WordPress-sites met specifieke verouderde versies. Het is zelden een gerichte aanval op jou persoonlijk — maar de schade is even reeel. Meer over hoe je je site structureel beschermt lees je in ons artikel over WordPress-beveiliging en via onze gids over beveiligingsplugins.
Malware verwijderen zonder downtime: het stappenplan
De volgorde is cruciaal. Wie begint met verwijderen zonder backup, verliest mogelijk zijn enige hersteloptie.
1. Maak een volledige backup voor je iets aanraakt — ook van de geïnfecteerde versie. Die heb je nodig als referentie om te zien wat er is gewijzigd.
2. Scan de site met een betrouwbare malwarescanner. Die toont welke bestanden verdachte code bevatten en waar de infectie zit.
3. Verwijder de geïnfecteerde bestanden of herstel ze via een schone kopie. WordPress core-bestanden kun je vervangen door de officieel gedownloade versie. Plugins en thema’s verwijder en herinstalleer je via de repository.
4. Dicht de toegangspoort. Kijk in je serverlogboeken op welk tijdstip de infectie plaatsvond en via welk bestand. Update alle plugins en thema’s, wijzig alle wachtwoorden en API-sleutels, en overweeg de WordPress salt keys te vernieuwen.
5. Controleer of de infectie volledig weg is met een tweede scan voor je de site opnieuw publiek maakt.
Na het herstel: wat nu?
Een site reinigen lost het verleden op, maar beschermt niet automatisch de toekomst. Zonder structurele maatregelen is herbesmetting een kwestie van tijd.
Wat je op zijn minst moet regelen: externe backups die niet op je hostingserver staan, regelmatige malwarescans, uptime monitoring zodat je meteen een seintje krijgt als er iets misgaat, en een vaste updatecyclus voor WordPress, plugins en thema’s. Activeer ook beveiligingslogs zodat je vroege signalen van nieuwe aanvalspogingen opvangt.
Dat klinkt als veel werk — en dat is het ook, als je het zelf bijhoudt. Jouw WP Check neemt precies dit van je over: tweewekelijks onderhoud, externe backups naar Hetzner S3, actieve beveiliging en monitoring. Zodat een situatie zoals hierboven zich liever niet herhaalt. En mocht het toch fout lopen: lees wat je niet moet doen als je site gehackt is om de schade te beperken.
