Inloggen
Registreren

WordPress site gehackt? Dit is het noodprotocol voor het eerste uur (en wat je daarna écht moet doen om herinfectie te voorkomen)

INHOUD

    Een gehackte WordPress site is niet altijd duidelijk vanaf seconde een. Soms krijg je een melding van Google, soms vertelt een klant dat hij naar een gokwebsite werd doorgestuurd, en soms vind je ’s ochtends een vreemde admin-account in je dashboard. Wat je situatie ook is: het eerste uur na de ontdekking bepaalt voor een groot deel hoe groot de schade wordt.

    Dit artikel is bedoeld als praktisch noodprotocol voor MKB-ondernemers met een WordPress site (zakelijk, blog of webshop). We lopen stap voor stap door wat je in het eerste uur moet doen om verdere schade te voorkomen, en welke vervolgstappen daarna echt nodig zijn voordat je site weer veilig en schoon online kan blijven.

    Een eerlijke kanttekening vooraf: in een uur kun je een aanval ontmantelen, je site offline halen, wachtwoorden draaien en een schone backup terugzetten. Een volledig herstel inclusief Google-review en complete hardening kan langer duren, soms een tot drie dagen. We benoemen die realiteit hieronder ook expliciet.

    Eerst even checken: ben je echt gehackt?

    Een paar gemene maar typische signalen van een WordPress-compromittering zijn:

    • Bezoekers worden doorgestuurd naar een andere site (gok, malware, spam, adult);
    • Je homepage is gedefaced of toont een vreemde tekst of taal;
    • In Google Search Console of in een browserwaarschuwing verschijnt “Misleidende site” of “Bevat malware”;
    • Er staan onbekende admin-gebruikers in je dashboard;
    • Je hosting stuurt een melding over verdacht uitgaand verkeer of een phishingmap;
    • Je e-mail wordt massaal als spam geweigerd terwijl je niets verstuurd hebt.

    Een signaal is verdacht, twee of meer is praktisch zeker. Als je twijfelt, voer dan een externe scan uit via Sucuri SiteCheck (gratis) of Wordfence vanuit je WordPress-omgeving zelf.

    Het 60-minuten noodprotocol

    Minuut 0 tot 5: zet je site direct in onderhoudsmodus

    Het allereerste wat moet gebeuren: voorkom dat bezoekers, klanten en zoekmachines de besmette pagina’s nog zien. Doe dit via je hostingpaneel (snelste manier) door tijdelijk een 503-pagina of “site under maintenance” te tonen, of via WordPress zelf met een onderhoudsplugin als WP Maintenance Mode. Werk je via een beheerde WordPress hostingpartij? Vraag dan om een directe lockdown op serverniveau, dat gaat sneller dan via WordPress zelf.

    Schakel ook tijdelijk de toegang tot wp-admin uit voor de buitenwereld als je hosting dat ondersteunt, bijvoorbeeld via een IP-whitelist of een extra .htpasswd op /wp-admin/.

    Minuut 5 tot 15: draai alle wachtwoorden

    Alles moet vervangen worden, niet alleen WordPress:

    • WordPress admin-gebruikers (resetten via de database als je niet meer in kan loggen);
    • FTP- of SFTP-account;
    • Hostingpaneel (cPanel, DirectAdmin of vergelijkbaar);
    • Database-gebruiker (en update wp-config.php);
    • E-mailaccounts gekoppeld aan het domein;
    • Eventuele API-keys, OAuth-tokens en applicatiewachtwoorden.

    Verwijder daarnaast onbekende admin-gebruikers en revoke alle actieve sessies (er bestaan plugins die dat in een klik doen, zoals “Logout users” of via Wordfence).

    Minuut 15 tot 30: inventariseer en clean of restore

    Hier splitst het pad zich in tweeen, afhankelijk van of je een schone backup hebt:

    Pad A, met schone backup (snelste): Zet een backup terug van voor de besmetting. Bij beheerde WordPress hosting bij PC Patrol heb je dagelijkse backups met 7 tot 60 dagen retentie, afhankelijk van je pakket. Belangrijk: identificeer eerst hoe lang de besmetting al actief is, anders herstel je een al besmette versie.

    Pad B, zonder schone backup: Voer een diepgaande malware scan uit met Wordfence, MalCare of Imunify360. Verwijder gevonden infecties, vervang vervolgens de WordPress core handmatig: download een schone WordPress-versie van wordpress.org, verwijder /wp-admin/ en /wp-includes/, en upload de schone mappen opnieuw. Doe hetzelfde voor je actieve thema en plugins (download verse versies vanuit het officiele plugin- of themarepository).

    Controleer daarna /wp-content/uploads/ op verdachte .php-bestanden (daar horen die nooit te staan), en kijk in wp-config.php en .htaccess naar regels die je niet zelf hebt toegevoegd.

    Minuut 30 tot 45: update alles en hard de site uit

    Werk WordPress core, alle plugins en alle thema’s bij naar de nieuwste versie. Verouderde software met bekende kwetsbaarheden is jaar in jaar uit het belangrijkste toegangsmechanisme voor WordPress-aanvallen. Verwijder ongebruikte plugins en thema’s helemaal, ook al zijn ze gedeactiveerd: ze blijven kwetsbaar.

    Schakel beveiligingsmaatregelen in als ze er nog niet stonden:

    • Two-factor authentication op alle admin-accounts;
    • Limit Login Attempts of een vergelijkbare brute-force bescherming;
    • Een actieve firewall (Wordfence, Cloudflare, of op serverniveau Imunify360).

    Minuut 45 tot 60: terug online, maar gecontroleerd

    Haal de site uit onderhoudsmodus, maar blijf de eerste uren intensief monitoren. Check:

    • Doet de homepage normaal?
    • Werkt het inloggen?
    • Worden bezoekers nergens doorgestuurd?
    • Komt e-mail door, of staat je domein nog op een blacklist?
    • Verschijnen er nieuwe verdachte bestanden?

    Voer een tweede malware scan uit om te bevestigen dat de site echt schoon is. Zet daarna alle wachtwoordmanager-records bij voor jezelf en je team, het is geen overbodige luxe als je toch bezig bent.

    Wat als je geen schone backup hebt en de schade fors is?

    Eerlijk verhaal: niet elke hack los je in een uur op. Dieper liggende infecties (bijvoorbeeld geinjecteerde code in honderden bestanden, verborgen rootkits in de uploads-map of gecompromitteerde server-credentials) vragen om een specialist die forensisch werkt. Ga je zelf knutselen zonder ervaring, dan is de kans groot dat een rest-infectie achterblijft en je site binnen dagen opnieuw besmet raakt.

    In dat scenario zijn er twee opties: een gespecialiseerde malware removal-dienst inhuren, of overstappen naar een hostingomgeving waar de detectie en cleanup serverside plaatsvindt. PC Patrol’s Managed WordPress hosting draait standaard met Imunify360, dat continu scant en infecties automatisch opschoont voordat ze schade aanrichten. Voor klanten op het Agency-pakket is auto-clean malware standaard onderdeel van de service.

    Google Search Console: zo kom je van een blacklisting af

    Als Google je site als onveilig markeert, blijft de waarschuwing in zoekresultaten staan totdat je via Search Console een review aanvraagt. Globaal werkt dat zo:

    1. Open Search Console en ga naar “Beveiligingsproblemen”;
    2. Bekijk welke URL’s of malware-types Google heeft gevonden;
    3. Bevestig dat je de besmetting hebt opgeschoond;
    4. Klik op “Beoordeling aanvragen” en beschrijf welke stappen je hebt gezet.

    Google verwerkt dit doorgaans binnen een tot drie dagen voor sites zonder eerdere meldingen. Een uitgebreidere uitleg over hoe je SEO-schade na een hack beperkt, lees je in onze post over SEO-schade herstellen na hack en het verwijderen van een Google-blacklisting.

    Hardening: voorkom dat het opnieuw gebeurt

    Een schone site is leuk, maar zonder hardening ben je in no-time terug bij af. Een minimum-checklist:

    • Automatische updates voor WordPress core, plugins en thema’s. Bij beheerde hosting bij PC Patrol gebeurt dit standaard, vanaf het Business-pakket inclusief plugins.
    • Dagelijkse backups met retentie buiten je hostingomgeving.
    • Two-factor authentication voor alle gebruikers met publish- of admin-rechten.
    • Het principe van minimale rechten: geef gebruikers alleen de rol die ze echt nodig hebben.
    • Een Web Application Firewall, idealiter op serverniveau (Imunify360) of via een edge service als Cloudflare.
    • Maandelijkse vulnerability scans. Hoe je dat zelf inricht lees je in Security audit WordPress zelf doen met open source tools.
    • Voor je elke plugin installeert: even de risico-inschatting doen die we beschrijven in WordPress plugin veiligheid controleren voordat je installeert.

    Vergeet ook de menselijke kant niet. Een groot deel van de hacks begint met een phishingmail die naar een medewerker gaat en succes heeft. Een korte Security Awareness training per kwartaal is voor de meeste MKB-organisaties de goedkoopste verzekering die er is.

    Wanneer is professionele hulp slimmer dan zelf doen?

    Doe het zelf als:

    • Je een schone backup hebt van voor de besmetting;
    • De aanval beperkt is en je weet welke pagina of plugin de boosdoener is;
    • Je comfortabel bent met FTP, databases en wp-config aanpassen.

    Schakel een specialist in als:

    • Je geen schone backup hebt;
    • De besmetting al langer actief is en in honderden bestanden zit;
    • Je al een keer hebt geprobeerd op te schonen en de hack komt terug;
    • Je site een webshop is en elk uur downtime direct geld kost.

    In alle drie de laatste gevallen is een overstap naar een hostingomgeving die malware op serverniveau detecteert en automatisch cleant vaak de meest economische keuze. PC Patrol’s Managed WordPress hosting levert Imunify360, dagelijkse backups en Nederlandse WordPress-specialisten als standaard. De migratie kost je niets en is in een werkdag rond, zonder downtime. Wil je niet migreren maar wel een vaste partij die je site continu monitort, updates draait en backups test? Bekijk dan onze losse WordPress onderhoud-pakketten, vanaf 79 euro per maand, ook bij je huidige hostingpartij.

    Veelgestelde vragen

    Hoe weet ik zeker dat mijn WordPress site gehackt is?
    Combineer minstens twee signalen: een browser- of Search Console-waarschuwing, ongebruikelijke redirects, vreemde admin-accounts, of een externe scan via Sucuri SiteCheck of Wordfence.

    Kan ik mijn site echt in een uur herstellen?
    Met een schone backup en directe actie is een werkende, niet-besmette versie van je site binnen een uur weer online haalbaar. Volledig herstel inclusief Google-review en complete hardening kan een tot drie dagen duren.

    Heb ik een dure security plugin nodig?
    Niet per se. De gratis versies van Wordfence en de scanner van Sucuri leveren al heel veel waarde. Op serverniveau geleverde bescherming als Imunify360 (standaard bij PC Patrol’s beheerde WordPress hosting) is doorgaans effectiever omdat die ook werkt als WordPress zelf is uitgeschakeld.

    Wat doe ik als ik niet meer in WordPress kan inloggen?
    Wachtwoord resetten via je database (tabel wp_users, kolom user_pass) en alle actieve sessies revoken. Daarna eerst alle stappen hierboven volgen voordat je terug online gaat.

    Hoe vaak komt herinfectie voor?
    Vaker dan je denkt: zonder hardening is de kans op herinfectie binnen 30 dagen aanzienlijk. De combinatie van automatische updates, dagelijkse backups, two-factor en serverside scanning verlaagt dat risico drastisch.

    Klaar om weer met een gerust hart online te staan?

    Een hack is naar, maar een gestructureerd noodprotocol plus de juiste hostingomgeving haalt het meeste angel eruit. Als je liever niet zelf in oorlogstijd hoeft te improviseren, kijk dan eens naar onze Managed WordPress hosting. Wij regelen Imunify360, dagelijkse backups, automatische updates en Nederlandse WordPress-specialisten standaard, en de overstap doen wij zelf binnen een werkdag. Wil je niet migreren maar wel het volledige onderhoud uitbesteden? Dat kan ook met onze losse WordPress onderhoud-pakketten.

    Tik je bedrijfsnaam in en check de extensies.

    Eén afrekening, drie domeinen, volledige bescherming.
    Domein zoeken

    Misschien ook interessant

    Blog

    Hoe verbeter je de Core Web Vitals van je WordPress site zonder complete redesign

    Waarom Core Web Vitals cruciaal zijn voor je WordPress site Google Core Web Vitals zijn meetbare prestatie-indicatoren die...

    Chris 13 dec 2025 4 min
    Blog

    Security audit WordPress zelf doen met open source tools

    Waarom een eigen security audit van je WordPress website belangrijk is Een WordPress website draait vaak op meerdere...

    Chris 26 jan 2026 3 min
    Blog

    Threat hunting op een linux vps uitvoeren om verborgen bedreigingen op te sporen

    Waarom threat hunting op een Linux VPS onmisbaar is Threat hunting op een Linux VPS wordt steeds belangrijker...

    Chris 18 feb 2026 3 min