// Beveiliging · Eerste hulp
WordPress site gehackt —
eerste hulp
Uw site vertoont verdacht gedrag of is volledig overgenomen? Raak niet in paniek. Volg deze stap-voor-stap aanpak om de schade te beperken, de site te herstellen en een herhaling te voorkomen.
Door Kristof Loyens — 14 mei 2026 · 7 min leestijd
Een gehackte WordPress-site is nachtmerriescenario voor elke ondernemer. Maar het overkomt meer mensen dan u denkt — WordPress drijft meer dan 40% van alle websites wereldwijd, wat het een populair doelwit maakt voor geautomatiseerde aanvallen. Hoe sneller u handelt, hoe minder schade.
Stap 1: Bevestig de hack
Soms lijkt een site gehackt maar is er een andere oorzaak (plugin-conflict, serverstoring). Bevestig eerst het probleem via twee onafhankelijke bronnen:
- Surf vanuit een ander netwerk — gebruik een mobiele dataverbinding of een VPN. Sommige redirects activeren zich alleen voor nieuwe bezoekers, niet voor u als beheerder.
- Google Safe Browsing — controleer uw domein via de transparantierapport-tool van Google. Een rode vlag daar betekent dat Google actief bezoekers waarschuwt.
- Vraag uw hostingprovider — zij zien vaak als eersten wanneer er kwaadaardige activiteit is op serverniveau.
- Scan met een online malware-checker — tools als Sucuri SiteCheck geven snel een extern oordeel.
Let op: log pas in op uw WordPress-dashboard nadat u zeker bent dat uw eigen computer niet gecompromitteerd is. Gebruik bij voorkeur een schoon toestel of een incognitovenster.
Stap 2: Zet de site tijdelijk offline
Zo snel mogelijk offline gaan beperkt de schade voor uw bezoekers en voorkomt dat Google uw site massaal afstraft. U heeft hiervoor twee opties:
- Via uw hostingpanel — de meeste providers (cPanel, Plesk, Kinsta, SiteGround…) hebben een knop om de site tijdelijk te deactiveren of in onderhoudsmodus te zetten zonder dat u toegang tot WordPress nodig heeft.
- Via een onderhoudsmodus-plugin via FTP — upload een eenvoudig
index.php-bestand met een "tijdelijk offline" melding naar de root van uw site.
Stap 3: Wijzig alle wachtwoorden
Doe dit voordat u ook maar één andere stap zet, anders kunnen aanvallers terugkeren terwijl u bezig bent te herstellen.
Stap 4: Maak een forensische back-up
Dit klinkt contra-intuïtief — back-up maken van een gehackte site? — maar het is cruciaal. U heeft de besmette versie nodig om achteraf te achterhalen hoe de aanval plaatsvond en welke bestanden gewijzigd zijn.
- Download alle bestanden via FTP/SFTP naar een offline locatie (niet op de server).
- Exporteer een dump van de database via phpMyAdmin of de CLI.
- Bewaar deze back-up apart van uw gewone back-ups — label hem duidelijk als "gehackt – forensisch".
Stap 5: Herstel vanaf een schone back-up
Als u recente, niet-besmette back-ups heeft, is dit de snelste weg naar herstel. De meeste hostingproviders bewaren automatische dagelijkse back-ups — vraag ernaar als u ze niet vindt.
Controleer altijd de datum. Een back-up van vóór de hack is nuttig; een back-up van na de hack bevat mogelijk al de malware. Vergelijk bestandsdatums en -groottes als u twijfelt.
Na het terugzetten van de back-up: update onmiddellijk alle plugins, thema's en de WordPress-core. De kwetsbaarheid waardoor de aanvaller binnenkwam, bestaat anders nog steeds.
Stap 6: Handmatig malware opsporen (als er geen back-up is)
Geen bruikbare back-up? Dan begint het handwerk. Dit zijn de plaatsen waar aanvallers het vaakst kwaadaardige code verbergen:
wp-content/themes/[uw-thema]/— met namefunctions.php,header.phpenfooter.phpworden aangepast.wp-content/uploads/— PHP-bestanden horen hier nooit thuis. Elk.php-bestand in de uploadsmap is verdacht.wp-config.php— check op vreemde code boven of onder de standaard inhoud..htaccess— aanvallers voegen hier redirect-regels aan toe die onzichtbaar zijn voor de beheerder maar actief zijn voor gewone bezoekers.- Databasetabel
wp_options— de veldensiteurlenhomeworden soms gewijzigd naar een andere URL.
// Handige grep-commando voor SSH
grep -rl "eval(base64_decode" /var/www/html/wp-content/
Zoekt recursief naar geobfusceerde PHP-injectie — een klassieke handtekening van malware.
Plugins als Wordfence of MalCare doen dit scanwerk geautomatiseerd en markeren gewijzigde bestanden ten opzichte van de officiële WordPress-broncode.
Stap 7: Verwijder onbekende gebruikers en herstel bestandspermissies
Ga naar Gebruikers → Alle gebruikers in WordPress en verwijder elke beheerder die u niet herkent. Controleer ook uw hostingpanel op FTP-accounts die u niet zelf aangemaakt heeft.
Stel daarna de bestandspermissies correct in — aanvallers verhogen deze soms om schrijftoegang te krijgen:
- Bestanden: 644
- Mappen: 755
wp-config.php: 600 (alleen lezen door de eigenaar)
Stap 8: Beveilig de site en kom terug online
Herstel zonder extra beveiliging is een herhaling van zetten. Neem deze maatregelen voordat u de site terug online zet:
- Installeer een beveiligingsplugin — Wordfence (gratis) of iThemes Security blokkeren brute-force aanvallen en scannen op malware.
- Activeer tweefactorauthenticatie — voor alle beheerdersaccounts. Dit maakt gestolen wachtwoorden nutteloos.
- Verberg de inlogpagina — de standaard URL
/wp-adminis wereldkundig; gebruik een plugin om hem te hernoemen. - Beperk inlogpogingen — na 5 mislukte pogingen tijdelijk blokkeren volstaat om 99% van de bots te stoppen.
- Schakel XML-RPC uit — tenzij u het actief gebruikt, is dit een veelgebruikt aanvalsvector dat u beter sluit.
- Zet automatische updates aan — voor WordPress-core en beveiligingsupdates van plugins.
Oorzaken en preventie — overzicht
| Aanvalsvector | Hoe het gebeurt | Preventie |
|---|---|---|
| Verouderde plugins of thema's | Bekende kwetsbaarheden worden geautomatiseerd uitgebuit | Automatische updates aanzetten |
| Zwak wachtwoord | Brute-force of credential stuffing | Sterk wachtwoord + 2FA |
| Geïnfecteerde nulled plugins | Gratis illegale versies bevatten backdoors | Nooit nulled software gebruiken |
| Gedeelde hosting zonder isolatie | Andere sites op de server besmetten de uwe | VPS of geïsoleerde hosting kiezen |
| Zwakke FTP-credentials | Aanvallers loggen in en uploaden malware | SFTP met sleutelauthenticatie |
| Geen back-ups | Geen hersteloptie na aanval | Dagelijkse offsite back-ups |
Wanneer vraagt u hulp?
Niet iedereen heeft de technische kennis of tijd om dit zelf af te handelen — en dat is volkomen begrijpelijk. Schakel een professional in als:
- U geen bruikbare back-up kunt vinden.
- De malware terugkeert na verwijdering (backdoor nog aanwezig).
- Google uw site heeft gemarkeerd en de verzoek tot herziening moet ingediend worden.
- U niet zeker bent of de site volledig schoon is voor bezoekers terug toe te laten.
- Er persoonlijke data van klanten mogelijk gelekt is — dan speelt ook de GDPR-meldplicht.
Quantum Leap to the rescue!
We kwamen onlangs tussen bij een lokaal bedrijf waarvan de WordPress-site stiekem bezoekers doorstuurde naar een casino-site — en dat al weken. De eigenaar merkte het pas toen een klant hem erop wees. We herstelden de site vanuit een clean back-up, verwijderden de backdoor die de aanvaller achtergelaten had, en zetten een monitoringsysteem op dat abnormale bestandswijzigingen meteen signaleert. Sindsdien: geen incidenten meer.
WordPress-site gehackt of wilt u een aanval voorkomen? Neem contact met ons op — we helpen snel en discreet.
Kristof Loyens
Eigenaar Quantum Leap. WordPress fan. Designer en Developer. Loves The interwebz, snowboarding, graffiti en luide muziek. Maakt een geweldige pompoensoep.