WordPress gehackt? Volg deze 13 stappen om je site te herstellen

WordPress Gehackt: 13 Stappen Om Je Site Te Herstellen

Je WordPress website is gehackt. De paniek slaat toe — en dat is begrijpelijk. Een gehackte website verspreidt malware naar bezoekers, verdwijnt uit de Google-zoekresultaten en kan klantgegevens blootstellen. Elke minuut telt.

Het goede nieuws: de meeste WordPress hacks zijn herstelbaar — als je snel en methodisch te werk gaat. In deze gids lees je stap voor stap wat je moet doen wanneer je WordPress gehackt is: van de eerste noodmaatregelen tot volledig herstel en preventie.

1. Hoe herken je dat je WordPress website gehackt is?

Niet elke hack is meteen zichtbaar. Dit zijn de signalen die wijzen op een WordPress hack:

  • Je website toont onbekende content of links naar vreemde websites
  • Bezoekers worden doorgestuurd naar een andere website
  • Google toont een “Deze site kan schadelijk zijn”-waarschuwing
  • Je kan niet meer inloggen in je WordPress dashboard
  • Je hostingprovider heeft je account geblokkeerd wegens spam
  • Je ziet onbekende beheerdersaccounts in je gebruikerslijst
  • Google Search Console meldt beveiligingsproblemen
  • Je website laadt plots veel trager dan normaal

⚠️ Belangrijk: soms is een hack wekenlang onzichtbaar. Hackers verstoppen hun code bewust zodat ze ongestoord toegang houden. Dagelijkse malwarescans detecteren dit vroegtijdig.

2. Meest voorkomende oorzaken van een WordPress hack

Begrijp je hoe je gehackt bent, dan voorkom je een herhaling. De meest voorkomende oorzaken:

OorzaakAandeel van hacks
Verouderde plugins of thema’s~60%
Zwakke of hergebruikte wachtwoorden~20%
Onveilige hostingomgeving~10%
Geïnfecteerde thema’s of plugins (nulled)~8%
Overige (brute force, SQL-injectie)~2%


De meeste WordPress hacks zijn geautomatiseerd: bots scannen het internet op bekende kwetsbaarheden in verouderde plugins en slaan toe zodra ze een match vinden.

3. De 13 stappen om een gehackte WordPress website te herstellen

Stap 1: Blijf kalm en handel methodisch

Paniek leidt tot fouten. Volg de stappen in volgorde — sla er geen over.

Stap 2: Haal je website tijdelijk offline

Activeer de onderhoudsmodus of blokkeer toegang tot je site. Dit voorkomt dat bezoekers malware oplopen en dat Google je site verder afstraft. Gebruik een plugin als “WP Maintenance Mode” of vraag je hostingprovider om hulp.

Stap 3: Contacteer je hostingprovider

Je hostingprovider heeft toegang tot serverlogs en kan helpen bij het identificeren van de aanvalsvector. Veel providers hebben ook een eigen beveiligingsteam dat kan assisteren bij herstel.

Stap 4: Maak een back-up van de besmette site

Dit klinkt contra-intuïtief, maar je hebt een kopie nodig van de gehackte versie voor forensisch onderzoek — om te achterhalen hoe de aanvaller binnenkwam. Bewaar deze back-up apart van je schone back-ups.

Stap 5: Zet een schone back-up terug

Heb je recente back-ups? Dat is het snelste herstelpad. Zet de meest recente schone back-up terug — van vóór de hack. Daarna nog stap 6-10 uitvoeren om herhaling te voorkomen.

💡 Geen recente back-up? Dan volg je stap 6 tot 9 om de site handmatig te reinigen.

Stap 6: Scan alle bestanden op malware

Gebruik een beveiligingsplugin om een volledige malwarescan uit te voeren:

  • Wordfence — grondige bestandsscan met vergelijking tegen bekende WordPress-kernbestanden
  • MalCare — cloudgebaseerde scan die ook verborgen malware detecteert
  • Sucuri SiteCheck — gratis online scanner voor een eerste diagnose

Stap 7: Reinig geïnfecteerde bestanden

Verwijder alle kwaadaardige code uit je bestanden. Controleer zeker:

  • wp-config.php — bevat databasegegevens, een geliefd doelwit
  • functions.php van je actieve thema
  • .htaccess — kan worden gebruikt voor onzichtbare redirects
  • Alle PHP-bestanden in wp-content/uploads/ (hier horen geen PHP-bestanden)

Herinstalleer de WordPress core: ga in je dashboard naar Dashboard → Updates → “Opnieuw installeren”. Dit overschrijft alle kernbestanden met een frisse kopie van WordPress.org.

Stap 8: Verwijder onbekende gebruikersaccounts

Ga naar Gebruikers → Alle gebruikers en verwijder elk account dat je niet herkent. Hackers maken beheerdersaccounts aan als achterdeur — ook als je de malware hebt verwijderd.

Stap 9: Wijzig alle wachtwoorden

Wijzig onmiddellijk de wachtwoorden van:

  • Alle WordPress-gebruikers (ook redacteuren en abonnees)
  • Je hostingpaneel (cPanel, Plesk)
  • FTP/SFTP-toegang
  • Je database (en pas wp-config.php aan)
  • Je e-mailadressen die gekoppeld zijn aan het domein

Gebruik een wachtwoordmanager (Bitwarden, 1Password) en stel voor elk account een uniek wachtwoord in van minimaal 16 tekens.

Stap 10: Update alles naar de laatste versie

Update WordPress core, alle plugins en je thema naar de nieuwste versie. Verwijder plugins en thema’s die je niet (meer) gebruikt — ook inactieve plugins kunnen kwetsbaarheden bevatten.

Stap 11: Controleer of je domein op een blacklist staat

Een gehackte site belandt snel op blacklists van Google, McAfee of andere organisaties. Controleer dit via:

Stap 12: Dien een herziening in bij Google

Als je site op een Google-blacklist staat, dien dan via Google Search Console een herziening in. Leg uit welke stappen je hebt gezet en dat de malware volledig verwijderd is. Google behandelt verzoeken doorgaans binnen enkele dagen.

Stap 13: Installeer structurele beveiligingsmaatregelen

Nu de site hersteld is, zorg je dat het niet opnieuw kan gebeuren:

  • Installeer een beveiligingsplugin (Wordfence of Sucuri)
  • Activeer tweefactorauthenticatie (2FA) voor alle beheerders
  • Beperk inlogpogingen (5 pogingen → tijdelijke blokkering)
  • Stel automatische dagelijkse malwarescans in
  • Activeer een Web Application Firewall (WAF)

📌 Volledig overzicht: WordPress beveiliging: complete gids

4. Herstelchecklist na een WordPress hack

Gebruik dit als afvinkhulp:

  • Website offline gezet
  • Hostingprovider gecontacteerd
  • Back-up van besmette versie gemaakt
  • Schone back-up teruggezet (of bestanden handmatig gereinigd)
  • Malwarescan uitgevoerd en geïnfecteerde bestanden verwijderd
  • WordPress core opnieuw geïnstalleerd
  • Onbekende gebruikersaccounts verwijderd
  • Alle wachtwoorden gewijzigd
  • Alles geüpdated (core, plugins, thema)
  • Blacklist-status gecontroleerd
  • Herziening aangevraagd bij Google (indien nodig)
  • Beveiligingsmaatregelen geïnstalleerd
  • Dagelijkse back-ups actief

Voorkomen is beter dan herstellen

Een WordPress hack herstellen kost gemiddeld 4 tot 16 uur — of €300 tot €2.000 als je een specialist inschakelt. Preventief onderhoud kost een fractie daarvan.

De drie belangrijkste preventieve maatregelen:

  1. Wekelijkse updates van WordPress, plugins en thema’s
  2. Dagelijkse back-ups op een externe locatie
  3. Beveiligingsmonitoring met automatische malwarescans

📌 Lees ook: WordPress back-up instellen: complete gids · WordPress updates veilig uitvoeren

Conclusie: snel handelen bij een WordPress hack

Wanneer je WordPress gehackt is, telt elke minuut. Volg de 13 stappen methodisch, zet de schoonste back-up terug en installeer structurele beveiligingsmaatregelen om herhaling te voorkomen.

Heb je professionele hulp nodig bij het herstellen van een gehackte WordPress website? PP Digital herstelt je site snel en grondig — en zorgt dat het niet opnieuw gebeurt.

📌 Dit artikel maakt deel uit van onze complete gids over WordPress onderhoud.

Bij PP Digital is onderhoud standaard inbegrepen in elk hostingpakket.

Meer weten? Bekijk onze pakketten Of neem contact op voor persoonlijk advies.
Vraag een gratis beveiligingsscan aan

Leave a Reply

Je e-mailadres zal niet getoond worden. Vereiste velden zijn gemarkeerd met *