Eerste stap: niet in paniek handelen
Je WordPress-site is gehackt. Dat voelt als controleverlies — en dat is het ook, even. Maar de meeste schade na een WordPress hack komt niet van de hack zelf, maar van ondoordachte reacties erop. Bestanden verwijderen die je niet herkent, WordPress opnieuw installeren zonder back-up, of het probleem negeren in de hoop dat het vanzelf overgaat — dat zijn de echte gevaren.
WordPress website gehackt: dit zijn de eerste tekenen
Niet elke hack is meteen zichtbaar. Soms merk je het aan vreemde omleidingen, een Google-waarschuwing “Deze site is mogelijk gehackt”, of een plotse daling in je zoekresultaten. Andere signalen: onbekende beheerdersaccounts, spam in je sitemap, of een hosting-provider die je account heeft geblokkeerd. Twijfel je? Lees ook hoe je een gehackte WordPress-site herkent.
Stap-voor-stap: zo herstel je een gehackte WordPress-site
Stap 1 — Maak een back-up van de huidige staat
Hoe beschadigd je site ook is: maak eerst een volledige back-up voor je iets aanpast. Die back-up van de gehackte versie klinkt contra-intuïtief, maar ze bevat je database en bestanden die je later mogelijk nodig hebt om te vergelijken met de schone versie. Zonder die back-up heb je geen referentie. Hoe je een back-up maakt, lees je in het artikel over UpdraftPlus.
Stap 2 — Zet je site in onderhoudsmodus
Blokkeer tijdelijk toegang voor bezoekers via een onderhoudsmodus-plugin of via je .htaccess. Zo voorkom je dat bezoekers de gehackte versie zien of — erger — zelf besmet worden via je site.
Stap 3 — Scan en identificeer de malware
Installeer een beveiligingsscanner en laat een volledige scan draaien. Die vergelijkt de bestanden van je site met de originele WordPress-core en markeert alles wat gewijzigd is of er niet thuishoort. Verdachte bestanden, aangepaste core-bestanden, onbekende gebruikersaccounts — de scan brengt het in kaart.
Stap 4 — Verwijder de malware en herstel de bestanden
Verwijder alle verdachte bestanden en plugins die de scan markeert. Herinstalleer de WordPress-core via het dashboard (Gereedschappen > WordPress bijwerken). Update alle plugins en thema’s naar de laatste versie, en verwijder alles wat je niet meer actief gebruikt. Verwijder ook eventuele onbekende beheerdersaccounts. Wijzig daarna alle wachtwoorden: WordPress-beheerder, FTP, database en hosting.
Stap 5 — Laat Google je site herindexeren
Na het herstel moet je Google Search Console gebruiken om de beveiligingswaarschuwing te laten verwijderen. Ga naar Beveiliging en handmatige acties → vraag een herziening aan. Zonder dit blijft de waarschuwing in de zoekresultaten staan, ook als je site technisch schoon is.
WordPress hack verwijderen: doe het grondig
Een WordPress hack verwijderen is meer dan verdachte bestanden wissen. Hackers plaatsen vaak meerdere achterdeurtjes (backdoors) verspreid over je installatie — in thema’s, plugins, of zelfs de WordPress-core zelf. Als je er één mist, ben je binnen de kortste keren opnieuw besmet.
De scanner die ik zelf gebruik — en die ik vorige week nog heb ingezet bij een opruimklus — is Anti-Malware Security and Brute-Force Firewall (ook bekend als GOTMLS). Hij wordt soms verouderd genoemd, maar ik gebruik hem al jaren en hij vindt en verwijdert kwaadaardige code die andere scanners missen. Vereist wel een (gratis) registratie om de definities up-to-date te houden.
Gebruik daarnaast ook Wordfence of Sucuri voor een tweede scan, en controleer je database op geïnjecteerde scripts.
Liever zeker zijn dat de WordPress hack volledig verwijderd is? Laat je gehackte WordPress site herstellen door een expert.
Voorkom een herhaling
De meest voorkomende ingang voor hackers zijn verouderde plugins en thema’s met bekende kwetsbaarheden. Door regelmatig te updaten sluit je de meeste deuren. Kijk ook na waarom de hack mogelijk was: zwak wachtwoord, een onveilige plugin, of slechte hostingconfiguratie. Meer over preventie lees je in waarom regelmatige updates cruciaal zijn.
Wil je het herstel liever aan iemand overlaten, of wil je voorkomen dat het ooit zo ver komt? Bij Jouw WP Check houd ik je site actief bij — zodat je niet voor verrassingen staat.
Veelgestelde vragen over een gehackte WordPress-site
Wat moet je doen als je WordPress-site gehackt is?
Raak niets aan zonder eerst een back-up te maken. Daarna: zet de site in onderhoudsmodus, scan op malware, verwijder verdachte bestanden en accounts, herstel de bestanden via een schone installatie, reset alle wachtwoorden en vraag Google om herindexering via Search Console.
Hoe verwijder je een WordPress hack?
De scanner die ik zelf gebruik is Anti-Malware Security and Brute-Force Firewall (GOTMLS) — onderschat door velen, maar bijzonder grondig. Hij vergelijkt je bestanden met bekende malware-definities en verwijdert geïnjecteerde code direct. Aanvullend helpt Wordfence of Sucuri om je bestanden te vergelijken met de originele WordPress-core. Herinstalleer daarna WordPress en alle plugins vanuit officiële bronnen, en controleer je database op geïnjecteerde scripts. Mis je een backdoor, dan ben je snel opnieuw het slachtoffer.
Hoe voorkom je dat je WordPress website gehackt wordt?
Houd plugins, thema’s en de WordPress-core altijd up-to-date. Gebruik sterke, unieke wachtwoorden en tweestapsverificatie. Beperk het aantal beheerders, kies een goede hostingprovider en maak regelmatig back-ups. Overweeg ook een beveiligingsplugin die actief scant en aanvallen blokkeert.
