Je WordPress-site is gehackt. Wat doe je nu?
Je krijgt een berichtje van een klant: “Je site toont vreemde dingen.” Of je opent zelf je website en wordt doorgestuurd naar een dubieuze pagina. Misschien verschijnt er een waarschuwing in Google. Op zo’n moment doe je — begrijpelijkerwijs — van alles om het probleem snel op te lossen. En net daarin loopt het vaak mis.
Dit artikel gaat niet over wat je wél moet doen bij een hack. Dat behandelen we apart. Eerst: de fouten die je situatie verergeren, en die meer mensen maken dan je denkt.
Herken eerst of je site echt gehackt is
Niet elke fout is een hack. Soms is een gecrashte plugin of een mislukte update de boosdoener. Maar er zijn signalen die je serieus moet nemen: bezoekers die worden doorgestuurd naar andere sites, vreemde berichten of links die je niet zelf hebt geplaatst, een Google-waarschuwing bij je domeinnaam, of een melding van je hostingprovider over verdachte activiteit.
Check ook hoe je een gehackte WordPress-site herkent voor een volledig overzicht van de signalen.
Snel handelen is belangrijk — maar niet blindelings. Elke verkeerde stap kan herstel moeilijker en duurder maken.
Wat je absoluut niet moet doen
Dit zijn de fouten die ik het vaakst zie bij gehackte WordPress-sites:
Zomaar bestanden verwijderen. De reflex om “verdachte bestanden” te wissen zonder backup is begrijpelijk maar gevaarlijk. Je weet niet altijd wat legitiem is en wat niet, en je verliest mogelijk je enige hersteloptie.
Willekeurig plugins installeren. Er circuleren tientallen plugins die beweren malware te verwijderen. Sommige doen dat ook — maar andere voegen nieuwe problemen toe. Installeer niets zonder eerst te begrijpen wat het doet.
De oorzaak negeren en enkel het symptoom aanpakken. Als je de malware verwijdert maar de lek niet dicht, is je site binnen de dag opnieuw geïnfecteerd. Hackers gebruiken geautomatiseerde scripts die kwetsbaarheden blijven uitbuiten tot je ze aanpakt. Lees hoe je malware stap voor stap verwijdert zonder downtime.
Meer achtergrond vind je in ons herstelplan voor gehackte WordPress-sites.
Wanneer schakel je hulp in?
Als je geen technische achtergrond hebt: meteen. Niet omdat het je niet lukt, maar omdat een hack tijdsdruk heeft. Hoe langer je site geïnfecteerd is, hoe groter de schade — aan je SEO-ranking, aan het vertrouwen van bezoekers, en soms aan de gegevens van klanten.
Een professional heeft de tools en ervaring om snel de omvang van de hack in te schatten, alle sporen van de infectie te verwijderen (niet enkel de zichtbare), en de toegangspoort te dichten zodat het niet opnieuw gebeurt.
Voorkomen is altijd goedkoper dan herstellen
De meeste hacks zijn geen gerichte aanvallen op jouw site specifiek. Ze zijn geautomatiseerd en gericht op bekende kwetsbaarheden in verouderde WordPress-versies, plugins of thema’s. Dat betekent ook dat ze grotendeels te vermijden zijn met consequent onderhoud.
Lees ook hoe je je WordPress-site structureel beveiligt en waarom beveiligingslogs je helpen problemen vroeg te signaleren.
Tweewekelijkse updates, externe backups en actieve beveiligingsmonitoring — dat is wat het verschil maakt. Niet eenmalig instellen en vergeten, maar structureel bijhouden. Precies dat is wat Jouw WP Check doet, zodat jij er niet aan hoeft te denken.
