Wanneer je ontdekt dat je WordPress gehackt is, slaat de paniek vaak direct toe. En terecht. Je website kan zijn overgenomen door kwaadwillenden die je bezoekers misleiden, gegevens stelen of je SEO verpesten. Als je in de eerste 10% van dit artikel bent beland, wil je waarschijnlijk weten hoe je dit oplost én voorkomt dat het nog eens gebeurt. In dit uitgebreide artikel leggen we stap voor stap uit wat je moet doen wanneer je WordPress gehackt is, hoe je je website herstelt, en hoe je toekomstige aanvallen voorkomt.
Waarom WordPress gehackt een veelvoorkomend probleem is
WordPress is wereldwijd het meest gebruikte CMS, en dat maakt het helaas ook een geliefd doelwit voor hackers. Meer dan 43% van alle websites draait op WordPress. Met zoveel gebruikers is de kans groot dat niet iedereen even waakzaam is. Hackers profiteren van verouderde plugins, zwakke wachtwoorden en onveilige hostinginstellingen.
Wat betekent het als je WordPress gehackt is?
Een gehackte WordPress-site kan uiteenlopende symptomen vertonen. Van plotselinge redirects naar verdachte websites tot onbekende bestanden in je directories. Het betekent dat iemand zonder toestemming toegang heeft gekregen tot je server, database of CMS. Vaak worden er schadelijke scripts toegevoegd die pas maanden later worden ontdekt.
Veelvoorkomende oorzaken van een WordPress hack
Verouderde plugins of thema’s
Gebruik van zwakke wachtwoorden
Onveilige hostingomgevingen
Onvoldoende bestandsrechten
Geen SSL-certificaat
Open directory listing
Wist je dat meer dan 60% van de hacks veroorzaakt wordt door kwetsbaarheden in plugins?
Hoe herken je dat je WordPress website gehackt is?
Er zijn diverse signalen die kunnen wijzen op een hack:
Plotselinge daling in bezoekersaantallen
Onverwachte redirects
Nieuwe gebruikersaccounts
Vreemde bestandsnamen in je rootdirectory
Je site staat op een blacklist
Bezoekers klagen over virussen of phishingmeldingen
Wat te doen bij een gehackte WordPress site
Blijf kalm en volg deze stappen:
Zet je site tijdelijk offline
Meld de hack bij je hostingprovider
Maak een volledige back-up (ja, ook van de besmette site)
Scan je bestanden op malware
Reinig je database en bestanden
Herinstalleer de WordPress core
Stel nieuwe wachtwoorden in
Installeer beveiligingsplugins
Informeer je bezoekers (indien van toepassing)
✅ Snelle stappen bij WordPress hack:
- Offline halen
- Back-up maken
- Malware scannen
- Plugins & thema’s controleren
- Core opnieuw installeren
Waarom je je site tijdelijk offline moet halen
Wanneer je WordPress gehackt is, loopt niet alleen jouw website gevaar, maar ook elke bezoeker die ermee in aanraking komt. Kwaadwillenden injecteren vaak malware of schadelijke scripts die zich automatisch verspreiden, zoals ransomware, phishinglinks of cryptominers. Bezoekers kunnen ongemerkt geïnfecteerd raken, en dat is funest voor jouw online reputatie.
Door je website tijdelijk offline te halen — bijvoorbeeld door een onderhoudsmodus in te schakelen of een 503-statuscode te gebruiken — neem je verantwoordelijkheid. Je voorkomt dat zoekmachines je als onbetrouwbaar markeren en minimaliseert de schade aan je domeinreputatie. Google detecteert snel wanneer een site geïnfecteerd is en kan je uit de zoekresultaten weren.
Bovendien geeft het jou of je ontwikkelaar de nodige rust om het probleem op te lossen zonder dat je voortdurend verkeer moet omleiden of uitleggen wat er aan de hand is. Denk aan het offline zetten van je site als het instellen van een quarantaine: het isoleert het probleem zodat het niet escaleert.
Het belang van een recente back-up
Een recente back-up is je digitale vangnet, het verschil tussen totale ramp en snel herstel. Wanneer je WordPress gehackt is, wil je terug kunnen keren naar een vorige, schone staat van je website. Als je back-ups maakt vóór elke grote update en automatisch laat draaien op dagelijkse of wekelijkse basis, heb je altijd een herstelpunt.
Een goede back-up bevat niet alleen je WordPress-bestanden, maar ook je database, uploads, thema’s, en plugininstellingen. Moderne tools zoals UpdraftPlus, BlogVault of Jetpack Backup maken het gemakkelijk om volledige, versleutelde back-ups op te slaan in de cloud of op externe locaties zoals Dropbox of Google Drive.
Let op: bewaar altijd meerdere versies van je back-ups en test ze af en toe. Een geïnfecteerde back-up helpt je immers niet verder. Als je vermoedt dat je site al een tijdje besmet is, moet je kunnen terugvallen op een oudere, schone kopie.
Tools om malware op je WordPress site te detecteren
Gebruik tools zoals:
Sucuri SiteCheck
Wordfence
MalCare
VirusTotal (voor verdachte bestanden)
WPScan (voor kwetsbaarheden)
💡 Tip: Combineer Wordfence en een firewall zoals Cloudflare voor extra bescherming.
Kwaadaardige of verouderde plugins verwijderen
Ga door je pluginlijst en verwijder alles wat:
Niet meer wordt onderhouden
Geen bekende ontwikkelaar heeft
Je niet meer gebruikt
Verwijder ze volledig, niet alleen deactiveer ze.
Schadelijke codes in thema’s verwijderen
Wanneer je WordPress gehackt is, verstoppen aanvallers hun scripts vaak in je actieve thema. Waarom? Omdat deze bestanden standaard worden geladen en niet altijd gecontroleerd worden door beveiligingsplugins. Bestanden als functions.php, header.php, footer.php en index.php zijn populaire doelwitten.
Open deze bestanden met een code-editor of via het WordPress-dashboard en let op verdachte codefragmenten. Vaak zijn ze herkenbaar aan lange reeksen tekens, zoals base64_decode, eval(), gzinflate(), of obfuscatie zoals vreemde variabelen, onbekende functies of verborgen JavaScript.
Bijvoorbeeld:
Ziet dat er niet vertrouwd uit? Dan is dat waarschijnlijk ook zo. Vergelijk verdachte bestanden met een verse kopie van het thema (downloadbaar via de officiële repository of ontwikkelaar). Verwijder alle ongeautoriseerde code of vervang het hele bestand met een schone versie.
Let op: maak altijd eerst een back-up voordat je wijzigingen aanbrengt.
Geavanceerde inspectie via FTP
FTP-toegang (bijv. via FileZilla of Cyberduck) geeft je een ongefilterde kijk op de serverbestanden van je WordPress-installatie. Dit is ideaal voor diepgaand onderzoek wanneer je vermoed dat de hack zich buiten WordPress om heeft verspreid, zoals in ongebruikelijke submappen of in wp-content/uploads.
Waarop letten:
PHP-bestanden in mappen waar normaal geen scripts horen (zoals
/uploads/)Bestanden met vreemde namen:
zxcx.php,l0g1n.php,wp-confing.php(let op typefouten!)Mappen zoals
tmp/,cache/, ofbackup/die je zelf nooit hebt aangemaaktRecente wijzigingsdata of ongebruikelijke bestandsrechten (chmod 777 is verdacht)
Verwijder geen bestanden blindelings. Raadpleeg officiële WordPress-structuren en gebruik tools zoals Diffchecker om verschillen te analyseren. Indien mogelijk: werk vanaf een staging-omgeving om fouten te voorkomen.
😓 Lukt het niet om je gehackte WordPress site op te schonen? Wij helpen je binnen de 24u. 💪
Vraag jouw gratis quickscan aan
WordPress core-bestanden opnieuw installeren
WordPress core-bestanden bevatten essentiële scripts zoals wp-login.php, wp-settings.php, en wp-includes/. Hackers plaatsen soms verborgen backdoors in deze bestanden omdat gebruikers ze zelden controleren. Daarom is het aan te raden om de kernbestanden opnieuw te installeren, zelfs als je geen directe infectie vermoedt.
Hoe doe je dat?
Log in op het WordPress-dashboard.
Ga naar Dashboard > Updates.
Klik op “Opnieuw installeren”.
Deze actie overschrijft alle WordPress-kernbestanden met verse kopieën van WordPress.org, zonder je content of instellingen aan te passen. Als alternatief kun je handmatig via FTP de /wp-admin/ en /wp-includes/ mappen verwijderen en vervangen door nieuwe exemplaren van de officiële WordPress download.
Let op: Plugins, thema’s en uploads blijven onaangetast — zorg wel dat ze ook schoon zijn.
Onbekende gebruikers verwijderen
Hackers voegen vaak beheerdersaccounts toe om de toegang tot je site te behouden, zelfs nadat je een wachtwoord wijzigt. Deze accounts zien er onschuldig uit — met namen als admin2, support, of wordpress1 — maar zijn pure digitale trojan horses.
Volg deze stappen:
Ga naar Gebruikers > Alle gebruikers in het WordPress-dashboard.
Sorteer op gebruikersrol. Let vooral op Beheerders.
Klik op verdachte accounts om de registratiedatum, loginactiviteit en e-mailadres te bekijken.
Verwijder alle onbekende of ongebruikelijke accounts.
Wijzig onmiddellijk de wachtwoorden van de resterende accounts, inclusief je eigen.
Overweeg ook om tweefactorauthenticatie (2FA) te activeren voor alle beheerders en inlogpogingen te beperken via plugins als WP Limit Login Attempts of Wordfence.
Sterke nieuwe wachtwoorden instellen
Gebruik unieke en sterke wachtwoorden voor:
WordPress logins
Database
FTP/SFTP
Hostingpaneel
Gebruik een wachtwoordmanager zoals Bitwarden of 1Password.
Waarom je host op de hoogte moet zijn
Je hostingprovider kan:
De server logbestanden analyseren
Beveiligingsmaatregelen aanscherpen
Je helpen met het herstellen van back-ups
Andere klanten beschermen als het een gedeelde server betreft
Wat serverlogs je kunnen vertellen
De Apache- of Nginx-logboeken kunnen laten zien:
Wanneer de hack plaatsvond
Via welk IP of bestand
Welke scripts zijn uitgevoerd
Is je domein op een blacklist beland?
Gebruik tools zoals:
McAfee SiteAdvisor
Een domein op een blacklist kan tot wekenlange SEO-schade leiden.
Ranking verliezen na een hack aanpakken
Wanneer je WordPress gehackt is, kan dat desastreuze gevolgen hebben voor je SEO-ranking. Zoekmachines zoals Google nemen de veiligheid van hun gebruikers uiterst serieus. Als jouw site schadelijke content verspreidt, scripts injecteert of bezoekers omleidt naar phishingpagina’s, dan beland je razendsnel op een blacklist. Het gevolg? Je pagina’s verdwijnen uit de zoekresultaten, je verkeer daalt dramatisch en je reputatie komt onder vuur te liggen.
Verwijder snel alle malware
De eerste en allerbelangrijkste stap in het herstelproces is het volledig opschonen van je website. Malware en verdachte bestanden moeten handmatig of met behulp van professionele tools zoals Wordfence of Sucuri worden opgespoord en verwijderd. Dit zorgt niet alleen voor een veilige gebruikerservaring, maar is ook de basisvoorwaarde om je positie in de zoekresultaten terug te winnen.
Vraag heroverweging aan bij Google Search Console
Zodra je zeker weet dat je site schoon is, log je in op Google Search Console. Hier kun je een ‘heroverwegingsverzoek’ indienen. Je vraagt Google letterlijk om je website opnieuw te beoordelen, waarbij je aangeeft welke stappen je hebt ondernomen om het probleem op te lossen. Wees eerlijk, volledig en duidelijk in je toelichting — dat verhoogt de kans op een snelle goedkeuring.
Check je sitemap en robots.txt
Na een hack kunnen je sitemap.xml en robots.txt bestanden ongemerkt zijn aangepast door de aanvaller. Controleer of er geen belangrijke pagina’s worden uitgesloten van indexering en of je sitemap nog verwijst naar legitieme content. Herstel of regenereer deze bestanden indien nodig, bijvoorbeeld via je SEO-plugin.
Herstel je backlinks en domeinreputatie
Kwaadwillenden gebruiken gehackte sites vaak als tussenstation voor blackhat-SEO of spam. Hierdoor kan je domein negatieve backlinks ontvangen die je reputatie schaden. Gebruik tools zoals Ahrefs, Semrush of Google’s Disavow Tool om verdachte links op te sporen en te verwijderen. Neem ook contact op met partnersites of webmasters om legitieme backlinks opnieuw op te bouwen.
Gebruik een SEO plugin zoals Rank Math of Yoast om structuur te herstellen
Een gehackte site verliest vaak zijn logische structuur, met beschadigde metadata, gebroken links en kapotte permalinks als gevolg. Met een SEO-plugin kun je dit efficiënt herstellen. Rank Math of Yoast SEO helpt je om title-tags, meta-descriptions, canonical URLs en schema-markeringen opnieuw in te stellen, zodat Google je content weer correct indexeert.
Kortom, hoe sneller je schoonmaakt en communiceert met zoekmachines, hoe groter de kans dat je je rankings herstelt. Zie SEO-herstel als een marathon, geen sprint — met geduld, transparantie en structuur herstel je je autoriteit stukje bij beetje.
Beste plugins om WordPress te beveiligen
Wordfence Security
Solid WP
Sucuri Security
Shield Security
WP Cerber
Installeer er niet te veel tegelijk — kies er één of twee.
Extra beveiligingslagen instellen
Pas je .htaccess en wp-config.php aan om:
Directory browsing te voorkomen
Database login te beschermen
Schrijven naar bestanden te beperken
Waarom automatische updates helpen
Zorg dat je WordPress, plugins én thema’s automatisch updaten. Veel kwetsbaarheden worden snel gepatcht, maar alleen als je updates installeert.
WAF installeren voor maximale beveiliging
Een Web Application Firewall (zoals Cloudflare of Sucuri) voorkomt dat kwaadwillenden je site bereiken nog vóór ze je server raken.
Structurele malwarecontroles uitvoeren
Stel in dat je website wekelijks automatisch wordt gescand. Monitor integriteit van bestanden, verdachte inlogs, en brute force pogingen.
10 gouden tips om hacks te voorkomen
Update altijd alles
Gebruik sterke wachtwoorden
Installeer alleen betrouwbare plugins
Verwijder wat je niet gebruikt
Maak regelmatig back-ups
Gebruik SSL
Verberg de loginpagina
Limiteer loginpogingen
Scan regelmatig op malware
Monitor je website actief
Conclusie: WordPress gehackt – herstellen én voorkomen
Een gehackte WordPress-site is vervelend, stressvol en potentieel schadelijk voor je reputatie. Maar met de juiste stappen kun je de schade beperken, je website herstellen en sterker terugkomen dan ooit. Voorkomen is écht beter dan genezen. Beveiliging is geen eenmalige actie, maar een doorlopend proces.
🛡️ Bij PP Digital is onderhoud standaard inbegrepen in elk hostingpakket.
✅ Dagelijkse back-ups
✅ WordPress, plugin & thema-updates
✅ Beveiliging & malwarecontrole
✅ Kleine aanpassingen inbegrepen
✅ Geen gedoe, gewoon zorgeloos online
👉 Meer weten? Bekijk onze pakketten Of neem contact op voor persoonlijk advies.
✅ WordPress, plugin & thema-updates
✅ Beveiliging & malwarecontrole
✅ Kleine aanpassingen inbegrepen
✅ Geen gedoe, gewoon zorgeloos online
👉 Meer weten? Bekijk onze pakketten Of neem contact op voor persoonlijk advies.
