Wat doe je bij een gehackte WordPress site, de eerste 24 uur

Je site is gehackt. Een melding van Google, een browser-waarschuwing of je dashboard die er anders uitziet dan gisteren. Paniek is begrijpelijk, maar wat je in de eerste 24 uur doet bepaalt of het schadebeperking blijft of een ramp wordt. Volgens cijfers van Wordfence en Sucuri wordt elke seconde een WordPress-site aangevallen, en hebben succesvolle aanvallen meestal een verouderde plugin of zwak wachtwoord als oorzaak. Hieronder een rustig stappenplan, in volgorde van actie, voor het scenario dat hopelijk nooit komt maar te vaak voorkomt.

Hoe je herkent dat je een gehackte WordPress site hebt

Een gehackte WordPress site geeft signalen die makkelijk te missen zijn als je er niet op let: spam-redirects bij Google-resultaten, plotseling onbekende beheerders in WP-admin, vreemde bestanden in /wp-content/uploads/, of waarschuwingen van bezoekers dat hun virusscanner aansloeg. Hoe sneller je het opmerkt, hoe minder schade.

Eerst, bevestig dat het echt een hack is

Niet elk vreemd gedrag is een hack. Soms is het een plugin-conflict, een caching-issue of een verlopen SSL-certificaat. Voor je in noodplannen schiet, check eerst:

• Werkt je site op een ander apparaat of browser ook anders?
• Zie je in Search Console waarschuwingen onder Beveiligingsproblemen?
• Detecteert Sucuri SiteCheck iets verdachts?
• Zijn er nieuwe admin-accounts in je WordPress dashboard?
• Zijn er bestanden in wp-content of plugins die je niet herkent?
• Zie je vreemde scripts of iframes in je page-source?
• Krijg je klachten van bezoekers over verdacht gedrag van de site?

Bij minstens twee positieve checks: ga uit van een hack en volg het stappenplan. Bij twijfel: schakel direct een professional in voor een second opinion in plaats van ad-hoc maatregelen die de situatie kunnen verergeren.

Uur 1, directe schadebeperking

Stap 1: zet je site offline

Schakel je site uit of zet maintenance mode aan. Dat voorkomt:

• Verdere besmetting van je bezoekers (browser-virus, phishing)
• Spam-uitbreiding via je site (linkbuilding, redirects)
• SEO-schade door verspreiding van vervuilde content
• Reputatieschade als bezoekers zien wat de hacker heeft achtergelaten
• Boetes als je site spam of malware doorgeeft aan derden

Praktisch: via Cloud86, Cloudways of een ander hostingpaneel kun je de site tijdelijk op offline zetten. Of via een maintenance-plugin zoals WP Maintenance Mode. Of via .htaccess een redirect naar een statische pagina. Voor wie geen FTP-toegang heeft, vraag het je hoster om noodhulp aan te zetten. Goede hosters reageren binnen 30 minuten op een security-incident.

Stap 2: verander alle admin-wachtwoorden

Reset wachtwoorden van:

• Alle WordPress admin-accounts (vooral je eigen)
• Je hosting-account
• Je FTP-account
• Je database (via hosting-paneel)
• E-mail accounts gekoppeld aan je site
• API-keys voor externe services (Mailchimp, Stripe, etc.)

Gebruik nieuwe wachtwoorden, geen variant op je oude. Sterke wachtwoorden via een password manager als 1Password of Bitwarden. Minimaal 16 tekens, willekeurig gegenereerd.

Stap 3: blokkeer onbekende admin-accounts

Als je via FTP of cPanel toegang hebt: log in op database (phpMyAdmin) en check de wp_users tabel. Verwijder of deactiveer accounts die je niet herkent. Hackers maken vaak een eigen admin-account aan zodra ze toegang hebben, vaak met een onschuldige naam als “support” of “wpadmin”. Check ook de wp_usermeta tabel op verdachte capabilities die toegekend zijn aan bestaande gebruikers.

Uur 2-4, schade-inventarisatie

Stap 4: maak een snapshot van de huidige situatie

Voor je begint op te schonen, maak een back-up van de huidige (gehackte) staat. Niet om terug te zetten, maar voor forensische analyse en mogelijke aangifte. Sla deze apart op, niet op dezelfde server. Dit is essentieel als je later moet bewijzen wat er gebeurd is, bijvoorbeeld bij een verzekeringsclaim of een AVG-onderzoek.

Stap 5: scan je site grondig

Tools die helpen:

• Wordfence (gratis): grondige malware-scan binnen WordPress
• Sucuri SiteCheck (gratis): externe scan via webinterface
• MalCare (premium): geautomatiseerde scan en cleanup
• WPScan (technisch): vulnerability scanner via command line
• Patchstack: monitort bekende kwetsbaarheden in plugins en thema’s

Documenteer wat ze vinden. Niet alleen wat opgeschoond moet, maar ook welke zwakke plek de hack mogelijk maakte. Zonder oorzaakanalyse herhaalt het scenario zich binnen weken.

Stap 6: identificeer de aanvalsvector

Hoe is de hacker binnengekomen? Meestal een van deze:

• Verouderde plugin met bekende kwetsbaarheid (60 procent van alle hacks)
• Verouderd WordPress core (10 procent)
• Zwak admin-wachtwoord (brute force) (15 procent)
• Gestolen FTP-credentials (5 procent)
• Gehackte hosting-account
• Kwaadaardige plugin gedownload van een dubieuze bron (nulled themes/plugins)
• Cross-site scripting via een formulier-input

Zonder de aanvalsvector te begrijpen, gaat de hack waarschijnlijk terugkomen. Check je server-logs (toegankelijk via je hostingpaneel) op verdachte requests in de uren voor de hack ontdekt werd. Een patroon van 100 login-pogingen per minuut wijst op brute force, een POST naar wp-admin/admin-ajax.php op een plugin-exploit.

Uur 4-12, opschonen of terugzetten

Optie A: terugzetten van een schone back-up

Als je een back-up hebt van voor de hack, is dit de snelste route. Werkwijze:

1. Bevestig dat de back-up echt schoon is (datum, scan met malware-tool)
2. Zet de site terug op die back-up
3. Update direct alles na restore: WP core, plugins, thema
4. Verander alle wachtwoorden opnieuw (de oude kunnen gestolen zijn)
5. Pas alle aanbevelingen voor preventie toe (zie verder)

Voor de bredere context van back-ups: waarom een website back-up belangrijker is dan een bedrijfsverzekering. Een goede back-up-strategie volgt de 3-2-1-regel: drie kopieen, op twee verschillende media, waarvan een off-site. Tools als UpdraftPlus regelen dit voor WordPress vrij eenvoudig.

Optie B: handmatig opschonen

Geen back-up, of de hack zit in content die je wilt behouden. Werkwijze:

1. Vervang WordPress core: download verse versie van nl.wordpress.org, vervang alle bestanden behalve wp-config.php en wp-content folder
2. Vervang alle plugins: verwijder ze allemaal en installeer verse kopieen
3. Vervang het thema (idealiter een verse kopie van je child theme of custom thema)
4. Scan wp-content/uploads op rare bestanden (PHP-bestanden in uploads zijn altijd verdacht)
5. Check wp-config.php op vreemde toegevoegde regels
6. Check .htaccess op verdachte rewrite-rules
7. Run nog eens een scan om te bevestigen dat alles schoon is

Dit is werk voor iemand met WordPress-ervaring. Bij twijfel niet zelf doen, want gemiste achterdeurtjes betekenen dat de hack terugkomt. Een veelvoorkomende achterdeur is een PHP-bestand met een onschuldige naam in wp-content/mu-plugins, een directory die WordPress automatisch laadt zonder dat je het in admin ziet.

Optie C: professional inschakelen

Voor zware hacks of als je geen tijd of kennis hebt: schakel een professional in. Specialisten als WP Hospital, MalCare service of een lokale WordPress-developer kunnen meestal binnen 24-48 uur opschonen. Kosten: 250 tot 1500 euro afhankelijk van complexiteit.

Voor wie maandelijks ondersteuning wil: WordPress onderhoud uitbesteden bevat security-monitoring en eerste hulp bij hacks. Een onderhoudsabonnement is meestal goedkoper per maand dan een eenmalige hack-recovery, en voorkomt het probleem in de eerste plaats.

Uur 12-24, herstel en communicatie

Stap 7: melden bij Google

Als Google waarschuwingen toonde of je site uit de index haalde, vraag een review aan via Search Console:

• Search Console, Beveiligingsproblemen
• Klik op Een review aanvragen
• Beschrijf wat je hebt gedaan om te herstellen
• Verwacht dat het 1 tot 7 dagen duurt voor Google reageert

Tijdens de wachttijd zal Google blijven waarschuwen voor je site, dus dit is een tijd-gevoelige stap. Hoe sneller je opschoont en aanvraagt, hoe minder SEO-schade.

Stap 8: communiceren met klanten

Onder de AVG ben je verplicht binnen 72 uur klanten te informeren als persoonsgegevens gelekt zijn, en de Autoriteit Persoonsgegevens te melden. Twijfel je over of er data gelekt is, raadpleeg een privacy-jurist. Voor de bredere AVG-context: cookies en AVG, wat moet wel.

Als er geen data-lek was maar alleen content-defacement, is communicatie niet wettelijk verplicht maar wel vaak verstandig. Een korte e-mail of social media-post die zegt: “Onze site is tijdelijk offline geweest door een security-incident, alles is opgelost en data was niet gecompromitteerd.” Eerlijke communicatie versterkt vaak vertrouwen, ontwijking ondermijnt het.

Stap 9: site weer online zetten

Pas online als:

• Volledig opgeschoond en gescand
• Alle wachtwoorden gewijzigd
• Updates uitgevoerd
• Security-maatregelen geinstalleerd (zie volgende sectie)
• Werkt op alle apparaten en browsers
• Backup van schone staat gemaakt

Eerst online zetten zonder dit te checken kan betekenen dat de hack zich opnieuw verspreidt. Test ook expliciet of er nog redirects in je code staan, en of de admin-area normaal toegankelijk is zonder waarschuwingen.

Forensische analyse, wat ga je leren van deze hack

Een nieuwe sectie die de meeste bedrijven overslaan. Een hack is een kostbare leerervaring. Wat moet je documenteren voor de toekomst:

• Welke aanvalsvector is gebruikt (plugin, wachtwoord, etc.)
• Hoe lang is de hack actief geweest voor ontdekking (Time To Detect)
• Welke data is mogelijk gelekt
• Welke acties heb je achteraf ondernomen
• Welke kosten zijn gemaakt
• Welke veranderingen worden permanent in je security-routine

Stel deze documentatie op voor je verzekeraar (cyberverzekeringen worden steeds gangbaarder voor MKB), voor jezelf om herhaling te voorkomen, en eventueel voor de Autoriteit Persoonsgegevens als data is gelekt. Een bedrijf dat na een hack zijn lessen documenteert en zichtbaar zijn security verbetert, herstelt sneller in vertrouwen dan een dat het stilhoudt.

Preventie voor de toekomst

Voorkomen is veel goedkoper dan oplossen. Tien maatregelen die hacks voorkomen:

1. Updates direct uitvoeren. WordPress core, plugins, thema’s. Auto-updates voor minor versions zetten standaard aan.
2. Sterke wachtwoorden voor alle admin-accounts. Minimaal 16 tekens, generated.
3. 2FA (twee-factor-authenticatie) voor alle admin-logins.
4. Beperk aantal admin-accounts. Hoe minder, hoe minder aanvalsvlak.
5. Gebruik geen “admin” als gebruikersnaam. Hackers proberen die als eerste.
6. Beperk login-pogingen. Wordfence of Limit Login Attempts plugin.
7. Verberg de WordPress versie uit page-source.
8. Disable file editing in WP admin via wp-config.php (voorkomt dat hackers via WP zelf code aanpassen).
9. Goede back-up routine met externe opslag via UpdraftPlus of vergelijkbaar.
10. Goede WordPress hoster met server-side security via Cloudflare of vergelijkbare WAF.

Voor een complete preventie-strategie: WordPress onderhoud uitbesteden bevat alle bovenstaande punten als standaard onderdeel, plus dagelijkse monitoring en eerste hulp bij incidenten.

Tot slot

Een gehackte site is geen einde van de wereld, mits je systematisch handelt. De eerste 24 uur bepalen of je het oppakt of dat het escaleert. Offline halen, schade beperken, opschonen, communiceren, terug online zetten met sterkere security. De meeste hacks zijn te voorkomen met basis-hygiene: updates, sterke wachtwoorden, 2FA en een goede hoster. Wie deze vier op orde heeft, sluit 90 procent van de aanvalsvectoren al af.

Hopelijk overkomt het je nooit. Mocht het wel zo zijn, dan weet je nu wat te doen. Plan een gratis kennismaking in als je preventief je security wilt versterken voor het zover komt. Officiele WordPress security-richtlijnen op wordpress.org zijn een goed startpunt.

Niemand denkt dat het hem overkomt, totdat het gebeurt. Een uur preventie nu bespaart een week paniek straks.