Een gehackte WordPress-website herken je aan vreemde inhoud, onverwachte doorverwijzingen of een melding van Google — maar soms zie je als eigenaar zelf niets, terwijl hackers je site al maanden misbruiken.
Dat laatste is meteen het gevaarlijkste: hackers willen zo lang mogelijk onopgemerkt blijven. Ze gebruiken jouw site om spam te versturen, bezoekers door te sturen naar malafide websites of om informatie te stelen — terwijl jij denkt dat alles prima loopt.
De signalen van een gehackte WordPress-site
Je site toont vreemde inhoud. Links naar casino- of medicijnwebsites, teksten in andere talen of pagina’s die je niet zelf hebt aangemaakt — dit zijn klassieke tekens van een zogenaamde SEO-hack. Hackers voegen onzichtbare pagina’s toe om hun eigen zoekresultaten te verbeteren via jouw domein.
Google geeft een waarschuwing. Als bezoekers een rode waarschuwingspagina te zien krijgen (“Deze site kan je computer schaden”), heeft Google malware op je site gedetecteerd. Je site is dan ook al uit de zoekresultaten gehaald of sterk gedaald.
Je wordt doorgestuurd naar een andere website. Bezoekers — maar soms alleen bezoekers die via Google komen — worden doorgestuurd naar een andere site. Als eigenaar zie je dit niet altijd, omdat hackers soms alleen mensen die via zoekmachines komen doorsturen.
Je hosting stuurt een melding. Hostingproviders scannen actief op malware. Een e-mail van je hosting over verdachte activiteit of een tijdelijk geblokkeerde website is een duidelijk signaal.
Je kunt niet meer inloggen. Als je wachtwoord ineens niet meer werkt en je het ook niet kunt resetten, is er mogelijk een adminaccount toegevoegd of gewijzigd.
Je site is plots traag of verstuurt spam. Hackers gebruiken gehackte sites om massaal e-mails te versturen. Dit merkt je aan een plots veel tragere site of aan meldingen dat je domein op een spamlijst staat.
Wat doe je als je site gehackt is?
Stap 1: Raak niet in paniek, maar handel wel snel.
Hoe langer een gehackte site actief is, hoe meer schade er ontstaat — aan je reputatie, je zoekresultaten en je bezoekers.
Stap 2: Neem je site offline (tijdelijk).
Als je hosting de mogelijkheid biedt, zet je site tijdelijk in “maintenance mode” of blokkeer je de toegang. Dit voorkomt dat bezoekers malware binnenhalen.
Stap 3: Wijzig alle wachtwoorden.
WordPress-admin, FTP, hosting en je e-mailadres. Gebruik sterke, unieke wachtwoorden en sla ze op in een wachtwoordmanager.
Stap 4: Zet een schone back-up terug.
Heb je een back-up van vóórdat de hack plaatsvond? Zet die terug. Let op: hackers zijn soms al weken actief voor je het merkt. Controleer wanneer de hack plaatsvond voordat je kiest welke back-up je terugzet.
Stap 5: Laat de site scannen en schoonmaken.
Tools als Wordfence of Sucuri kunnen malware opsporen, maar verwijderen het niet altijd volledig. Professioneel schoonmaken is betrouwbaarder: een specialist verwijdert niet alleen de malware maar controleert ook of de achterdeurtjes (backdoors) dicht zijn.
Stap 6: Vraag Google om heroverweging.
Als je site in de Google Search Console een beveiligingswaarschuwing heeft, vraag dan na het schoonmaken een heroverweging aan. Google controleert je site opnieuw en haalt de waarschuwing weg als alles schoon is.
Hoe komen hackers binnen?
De meest voorkomende ingangen zijn:
- Verouderde plugins of thema’s — dit is verantwoordelijk voor meer dan 50% van alle WordPress-hacks. Een bekende beveiligingslek in een populaire plugin wordt binnen uren misbruikt nadat het publiek wordt.
- Zwakke wachtwoorden — “admin” als gebruikersnaam en een eenvoudig wachtwoord zijn een open uitnodiging.
- Gedeelde hosting — als je op goedkope shared hosting zit en een andere klant op dezelfde server gehackt wordt, kan dat jou ook raken.
- Gecompromitteerde thema’s of plugins — gratis plugins van onbetrouwbare bronnen bevatten soms al malware bij installatie.
Zo bescherm je je WordPress-site
De beste bescherming is preventie. Dat betekent: updates zo snel mogelijk uitvoeren, sterke en unieke wachtwoorden gebruiken, twee-factor-authenticatie inschakelen, en een beveiligingsplugin instellen die inlogpogingen beperkt.
Met een onderhoudsabonnement van Rondom Internet wordt dit voor je gedaan. Updates worden gecontroleerd uitgevoerd, je site wordt gemonitord en bij een beveiligingsmelding handel ik direct.
Vermoed je dat je site gehackt is? Bel of WhatsApp direct: 06 28 28 37 28
Bij Rondom Internet kijk ik bij spoed binnen vijf minuten mee — ook als je geen lopend abonnement hebt. Eerst een eerlijke diagnose, dan pas aan de slag.
Veelgestelde vragen
Hoe snel kan een gehackte WordPress-site schoongemaakt worden?
Een rechttoe-rechtaan malware-verwijdering duurt doorgaans twee tot vier uur. Bij ernstigere hacks waarbij het bestandssysteem volledig gecompromitteerd is, kan herstel een dag in beslag nemen.
Moet ik aangifte doen van een hack?
Bij een datalek (als er klant- of persoonsgegevens zijn gestolen) ben je als ondernemer verplicht dit te melden bij de Autoriteit Persoonsgegevens, binnen 72 uur na ontdekking. Aangifte bij de politie is optioneel maar kan nuttig zijn.
Kan ik een gehackte site zelf schoonmaken?
Soms wel, met tools als Wordfence. Maar hackers plaatsen vaak meerdere achterdeurtjes — als je er één mist, komt de hack terug. Professioneel schoonmaken is zekerder.
Wat kost het schoonmaken van een gehackte WordPress-site?
Dat hangt af van de ernst van de hack. Bij Rondom Internet geldt het “no cure, no pay”-principe: eerst een diagnose, dan een prijs. Neem contact op voor een eerlijke inschatting.
Mijn site is schoongemaakt maar de hack komt terug. Waarom?
Waarschijnlijk is er nog een achterdeurtje aanwezig, of de oorspronkelijke ingang (verouderde plugin, zwak wachtwoord) is niet gedicht. Een professionele schoonmaak sluit altijd de ingang en verwijdert alle achterdeurtjes.
Laatste update: juni 2026