Customer Impact

Website & Development

WordPress gehackt? Stappenplan om je site te herstellen en opnieuw te beveiligen

TDK Tanguy De Keyzer Tanguy De Keyzer Oprichter & digitale strateeg · 27 juni 2026 · ◷ 6 min leestijd

Is je WordPress-site gehackt? Werk dan in deze volgorde: isoleer de site, maak eerst een back-up van de besmette staat, schoon daarna op (corebestanden, plugins, thema’s en onbekende admins), herstel naar een schone versie en beveilig pas op het einde opnieuw. Begin nooit met lukraak verdachte code weghalen tot het “weer werkt”, want dan mis je de achterdeur waarlangs de aanvaller terugkomt. In dit artikel lees je het volledige stappenplan, hoe je de Google-waarschuwing weer weg krijgt en hoe je voorkomt dat het opnieuw gebeurt.

Hoe weet je zeker dat je WordPress gehackt is?

Een hack toont zich meestal in een paar herkenbare signalen: bezoekers worden doorgestuurd naar spam-, gok- of dubieuze sites, je homepage is beklad, er duiken onbekende adminaccounts op in je dashboard, of Google Search Console stuurt een melding over hacked content. Soms is het subtieler: je site is plots traag, je hosting waarschuwt voor verdacht verkeer, of je rankings kelderen omdat Google verborgen spampagina’s heeft gevonden die jij niet ziet.

Twijfel je? Bekijk je site eens met een onbewerkte browser zonder ingelogd te zijn, en zoek je domein op in Google. Verborgen spam (de zogenaamde “SEO-hack”) is vaak alleen zichtbaar voor zoekmachines en niet voor de ingelogde beheerder. Een snelle test: vraag je homepage en een paar bestaande URL’s op via een tool als cURL en kijk of er code of links in staan die jij er niet hebt gezet.

Belangrijk om realistisch te blijven: niet elke storing is een hack. Een witte pagina of foutmelding na een update is meestal een pluginconflict, geen inbraak. Stel eerst vast wat er echt aan de hand is voordat je in paniek dingen verwijdert.

Wat is de eerste stap als je WordPress gehackt is?

De allereerste stap is de site isoleren en niets overhaast verwijderen. Zet WordPress in onderhoudsmodus of haal de site tijdelijk offline, zodat bezoekers en Google geen besmette pagina’s meer binnenkrijgen en de schade niet groter wordt.

Doe daarna, in deze volgorde, het volgende voor je iets opruimt:

  • Maak een volledige back-up van de besmette staat. Klinkt tegenintuïtief, maar je wilt bestanden en database bewaren zoals ze nu zijn. Die heb je nodig om te onderzoeken wat er gebeurd is, en als een opschoonactie misloopt, kun je terug.
  • Verzamel bewijs. Noteer wanneer je het ontdekte, welke meldingen je kreeg en wat er zichtbaar mis is. Bewaar de serverlogs van je hosting; daar staat vaak het tijdstip en het toegangspunt van de aanval in.
  • Verwittig je hostingpartij. Bij een gedeelde server kan jouw besmetting andere sites raken, en omgekeerd. Veel hosts kunnen helpen met logs, een scan of een tijdelijke quarantaine.
  • Wijzig nog niets aan de inhoud. Het is verleidelijk om meteen die ene rare regel te wissen, maar zonder overzicht maak je het onderzoek alleen lastiger.

Pas als de site veilig geïsoleerd is en je een back-up van het bewijsmateriaal hebt, ga je opschonen.

Hoe schoon je een gehackte WordPress-site grondig op?

Opschonen doe je door besmette onderdelen te vervangen door schone originelen, niet door eindeloos verdachte code te zoeken en te wissen. Zo weet je zeker dat je niets over het hoofd ziet.

Werk dit systematisch af:

  • Scan de hele installatie. Een security-scanner zoals Wordfence, Sucuri of MalCare doorzoekt je bestanden en database op bekende malware en gewijzigde corebestanden. Gebruik dit als kompas, niet als enige waarheid.
  • Vervang de WordPress-core. Download een verse kopie van WordPress.org en zet de coremappen (wp-admin en wp-includes) en de losse corebestanden in de root volledig terug. Bewerk geen besmette bestanden met de hand; vervangen is veiliger en sneller.
  • Herinstalleer plugins en thema’s. Verwijder elke plugin en elk thema en installeer ze opnieuw vanaf de officiële bron. Software die je nergens meer kunt downloaden (verlopen of “nulled” plugins) gooi je definitief weg; dat is vaak net het lek.
  • Controleer de verdachte plekken. Kijk gericht in wp-config.php, .htaccess en index.php naar geïnjecteerde code en redirects. Let in de database op de tabellen wp_users en wp_options.
  • Verwijder onbekende adminaccounts en rogue cron-taken. Een achtergelaten beheerder of geplande taak is dé manier waarop een aanvaller terugkeert nadat jij hebt opgekuist.
  • Reset alle wachtwoorden en sleutels. Alle WordPress-logins, je database-wachtwoord, FTP/SFTP, hosting-paneel en de geheime sleutels (salts) in wp-config.php. Ga ervan uit dat alles wat de aanvaller kon zien, gecompromitteerd is.

Twijfel je of je echt alles te pakken hebt? Bij een diepe of herhaalde besmetting is professionele malwareverwijdering geen luxe. Een half opgeschoonde site die een week later terug besmet is, kost je uiteindelijk meer dan het meteen goed laten doen.

Hoe herstel je je site en krijg je de Google-waarschuwing weg?

Herstellen kan op twee manieren: terugzetten vanaf een schone back-up van vóór de hack, of de huidige site grondig opschonen zoals hierboven. Een oude, gegarandeerd schone back-up is vaak de snelste en betrouwbaarste route, op voorwaarde dat je weet dat die van vóór de inbraak dateert. Weet je niet zeker wanneer de hack begon, dan is opschonen veiliger dan een back-up terugzetten die misschien al besmet was.

Was je site door Google geflagd met “deze site is mogelijk gehackt”? Dan los je dat zo op:

  1. Controleer in Google Search Console het rapport Beveiligingsproblemen om te zien wat Google precies vond, met voorbeeld-URL’s.
  2. Zorg dat élk gemeld probleem echt opgelost is. Test de voorbeeld-URL’s opnieuw en bevestig dat ze schoon zijn.
  3. Klik op Beoordeling aanvragen en leg duidelijk uit wat je gevonden hebt en welke stappen je hebt gezet om het te verhelpen.

Vraag die review pas aan als je zeker weet dat de site schoon is. Een te vroege aanvraag wordt afgewezen en verlengt alleen de periode dat je site als onveilig wordt gemarkeerd. Een review kan enkele dagen tot enkele weken duren, afhankelijk van het type besmetting. Reken dus op wat geduld, en gebruik die tijd om je beveiliging op orde te zetten.

Hou na herstel ook je rankings in de gaten. Verborgen spam en een veiligheidswaarschuwing kunnen je organische posities tijdelijk pijn doen. De aanpak om die terug op te bouwen lijkt sterk op wat we beschrijven in rankings behouden na een website-redesign, en de bredere SEO-basics vind je in onze WordPress SEO-checklist.

Hoe voorkom je dat WordPress opnieuw gehackt wordt?

De meeste hacks zijn geen geavanceerde aanval maar een gevolg van achterstallig onderhoud: een verouderde plugin, een zwak wachtwoord of een ontbrekende back-up. De echte fix zit dus niet in opkuisen, maar in structureel beveiligen. Dit is de basis:

  • Hou alles up-to-date. WordPress-core, plugins en thema’s. Aanvallers misbruiken vooral bekende kwetsbaarheden in verouderde software, dus tijdig updaten sluit het gros van de deuren.
  • Verklein je aanvalsoppervlak. Verwijder plugins en thema’s die je niet gebruikt. Elke component die je niet hebt, kan ook niet gehackt worden.
  • Zet tweefactorauthenticatie (2FA) aan. Zelfs als iemand je wachtwoord kent, komt hij zonder de tweede code niet binnen. Dit blokkeert het overgrote deel van de brute-force-aanvallen op je login.
  • Gebruik sterke, unieke logins en beperk beheerdersrechten. Geef niet iedereen een adminaccount en ruim oude gebruikers op.
  • Regel betrouwbare, geautomatiseerde back-ups. Bewaar ze los van je server en test af en toe of je ze echt kunt terugzetten. Een back-up die je niet kunt herstellen, is geen back-up.
  • Zet een firewall of securityplugin in. Die blokkeert verdacht verkeer en bekende aanvalspatronen voor ze je site bereiken.

Onderhoud is geen eenmalige actie maar een ritme. Bij ons webdesign bureau bouwen we sites zo dat ze niet alleen converteren maar ook beheersbaar en veilig blijven, op WordPress of op een ander platform dat bij jouw situatie past. Welke keuze voor jou klopt, hangt af van je team, je content en je groeiplannen, zoals we uitleggen in de B2B-website gids.

De korte samenvatting

Een gehackte WordPress-site herstel je in een vaste volgorde: isoleren, een back-up van de besmette staat maken, opschonen door bestanden te vervangen in plaats van te wissen, onbekende admins en taken verwijderen, alle wachtwoorden resetten, en pas dan in Search Console een review aanvragen. Maar het echte werk begint na het herstel: zonder updates, sterke logins met 2FA en geteste back-ups sta je binnen de kortste keren weer op dezelfde plek. Een site die je vertrouwt, is ook een site die leads blijft opleveren.

Wil je hulp bij het opschonen, herstellen of structureel beveiligen van je WordPress-site? Plan je gratis intake.

Gratis website-scan

Geef je website in en krijg binnen enkele minuten een automatische scan met concrete technische en SEO-verbeterpunten. Geen verkooppraatje.

Waar mogen we je rapport naartoe sturen?

Je gegevens gebruiken we alleen voor je scan. Geen spam, uitschrijven kan altijd.

Gerelateerde dienst Webdesign & development →

Deel je website voor een gratis zichtbaarheidsaudit