Een gehackte WordPress-site kost een gemiddeld MKB-bedrijf tussen de €2.000 en €15.000 aan directe schade -- en dan tel je reputatieverlies en gederfde omzet nog niet mee. Patchstack registreerde in 2025 maar liefst 11.334 nieuwe kwetsbaarheden in het WordPress-ecosysteem, een stijging van 42% ten opzichte van 2024. Verouderde plugins zijn de hoofdschuldige: meer dan de helft van de ontwikkelaars patcht pas na publieke bekendmaking. Heb je net ontdekt dat jouw site gehackt is? Adem even in. De komende zeven stappen bepalen of je over drie uur weer online bent, of over drie weken nog aan het rommelen bent.
Bouw je een nieuwe site of overweeg je een herontwerp? In onze gids over website laten maken behandelen we het volledige traject van strategie tot lancering, inclusief platformkeuze en beveiligingsfundamenten.
Hoe herken je dat je WordPress gehackt is?
Niet elke hack is een zwart scherm met schedels. De meeste aanvallen zijn ontworpen om zo lang mogelijk onzichtbaar te blijven -- gemiddeld duurt het meer dan 200 dagen voordat een bedrijf een inbraak ontdekt.
Let op deze signalen:
- Onverklaarbare redirects: bezoekers belanden op een goksite of farmaceutische spampagina
- Google-waarschuwing "Misleidende site": je site staat op de Safe Browsing-blocklist
- Japanse tekens in je zoekresultaten: de beruchte Japanese keyword hack injecteert duizenden spampagina's
- Onbekende beheerders in je dashboard: iemand heeft een admin-account aangemaakt dat je niet herkent
- Hosting stuurt waarschuwing: je provider meldt onnatuurlijk veel uitgaande e-mail of hoog CPU-gebruik
- Plotselinge verkeersdaling: Google verwijdert gehackte pagina's uit de index, soms binnen uren
- Nieuwe pagina's die je niet hebt aangemaakt: vaak gevuld met onzinnige tekst of affiliate-links
Eén van deze signalen? Ga direct naar stap 1. Meerdere signalen? De kans is groot dat de hack al dagen of weken actief is.
Stap 1: Hoe zet je je site offline en beperk je de schade?
Doe dit binnen 15 minuten na ontdekking. Elke minuut dat je gehackte site online staat, stuurt die mogelijk spam-e-mails namens jouw domein, infecteert bezoekers met malware, of vernietigt je SEO-positie.
Zo doe je dat:
- Log in bij je hostingpaneel (cPanel, DirectAdmin of Plesk)
- Schakel de site uit via een onderhoudsmodus-plugin (als je nog toegang hebt tot wp-admin) of hernoem het
.htaccess-bestand via FTP - Wijzig direct je FTP-wachtwoord -- dit voorkomt dat de aanvaller opnieuw bestanden uploadt
Kun je niet inloggen in WordPress? Dat is op zich al een teken: de hacker heeft waarschijnlijk je wachtwoord gewijzigd of je account verwijderd.
Stap 2: Maak een volledige backup van de gehackte staat
Klinkt tegenstrijdig, maar bewaar de gehackte versie. Je hebt die nodig om:
- Te achterhalen hoe de hack is binnengekomen (forensisch onderzoek)
- Claims bij je verzekeraar te onderbouwen (cyberverzekeringen eisen bewijs)
- Te controleren of de opschoning compleet is
Download via FTP of je hostingpaneel: alle WordPress-bestanden plus een export van de MySQL-database. Sla deze op een locatie buiten je server op -- een USB-stick of cloudopslag.
Stap 3: Hoe scan je op malware en vind je de bron?
Dit is de stap waar de meeste DIY-pogingen vastlopen. Handmatig zoeken naar malware in duizenden PHP-bestanden is een naald-in-de-hooiberg-operatie.
Welke scanner gebruik je?
| Tool | Type | Prijs | Sterkte |
|---|---|---|---|
| Wordfence | Plugin (endpoint) | Gratis / €119/jaar | Meest geinstalleerd (5M+), sterke gratis versie |
| Sucuri SiteCheck | Cloud-scanner | Gratis / vanaf €199/jaar | Scant zonder WordPress-toegang |
| MalCare | Plugin (cloud-analyse) | Vanaf €99/jaar | Automatische opschoning in 1 klik |
| Patchstack | Plugin (vPatching) | Gratis / €89/jaar | Blokkeert exploits voordat een patch beschikbaar is |
Onze observatie uit beveiligingsaudits: Wordfence vindt de meeste bekende malware-signatures, maar mist soms geobfusceerde code. MalCare is sterker in automatische opschoning. De beste aanpak? Scan met twee tools -- Wordfence voor detectie, Sucuri SiteCheck als second opinion.
Veelvoorkomende toegangspunten
Volgens Patchstack's 2025-rapport komt 96% van alle WordPress-kwetsbaarheden uit plugins. Niet uit WordPress zelf. De top-3 aanvalsvectoren:
- Verouderde plugins (veruit de grootste oorzaak)
- Zwakke wachtwoorden en hergebruikte logins
- Nulled themes/plugins -- "gratis" premium-thema's bevatten bijna altijd backdoors
Stap 4: Hoe verwijder je malware en herstel je schone bestanden?
Na de scan weet je welke bestanden geinfecteerd zijn. Nu moet je kiezen: handmatig opschonen of professioneel laten doen.
Zelf opschonen (geschatte tijd: 4-8 uur)
- Vervang alle WordPress-corebestanden door een verse download van wordpress.org
- Verwijder en herinstalleer alle plugins vanuit de officieel repository
- Verwijder onbekende bestanden in
/wp-content/uploads/-- malware verstopt zich vaak als.php-bestand tussen je afbeeldingen - Doorzoek je database op verdachte
<script>-tags eneval()-aanroepen, met name inwp_postsenwp_options - Controleer
wp-config.phpop onbekende code boven of onder de standaard configuratie
Professioneel laten opschonen
Nederlandse specialisten rekenen €169 tot €350 voor een volledige hack-opschoning, inclusief 30 dagen garantie. WJ Onderhoud en BlijfHackvrij leveren doorgaans binnen 12-24 uur. Dat klinkt als een uitgave, maar vergelijk het met de 4-8 uur die je zelf kwijt bent -- plus het risico dat je een backdoor over het hoofd ziet.
Stap 5: Welke wachtwoorden en toegangsrechten moet je resetten?
Een veelgemaakte fout: de site opschonen en vergeten dat de aanvaller je wachtwoorden kent.
Reset minimaal:
- WordPress admin-wachtwoord (alle beheeraccounts)
- FTP/SFTP-wachtwoord
- Database-wachtwoord (en werk
wp-config.phpbij) - Hosting cPanel/DirectAdmin-wachtwoord
- E-mailaccounts gekoppeld aan je domein
Controleer ook je gebruikerslijst in WordPress. Verwijder elk account dat je niet herkent -- met name accounts met de rol "Beheerder". Hackers maken bijna altijd een verborgen admin-account aan als fallback.
Activeer tweefactorauthenticatie (2FA) op alle accounts. Dit ene ding blokkeert 99,9% van de brute force-aanvallen.
Hoe krijg je je site uit de Google-blacklist?
Als Google je site heeft geflagd als "Misleidende site" of "Deze site is mogelijk gehackt", verlies je in een klap al je organisch verkeer. Herstel kost tijd:
- Meld je aan bij Google Search Console
- Ga naar "Beveiligingsproblemen" -- Google laat precies zien welke pagina's geinfecteerd zijn
- Los alle gemelde problemen op (stap 3 en 4 hierboven)
- Dien een herbeoordelingsverzoek in via Search Console
- Wacht 1-3 werkdagen op Google's herbeoordeling
Het slechte nieuws: volgens SiteGuarding duurt volledig SEO-herstel na een hack gemiddeld 3-6 maanden. Hoe langer de blacklisting actief was, hoe moeilijker de weg terug. Sites die binnen 48 uur worden opgeschoond, herstellen doorgaans binnen weken. Sites die weken gehackt blijven? Maanden tot een jaar.
Wat kost een WordPress-hack je werkelijk?
De directe kosten van opschoning (€169-€350) zijn het topje van de ijsberg. De werkelijke schade zit in de staart.
| Kostenpost | Geschat bedrag | Toelichting |
|---|---|---|
| Professionele opschoning | €169 - €350 | Eenmalig, inclusief garantie |
| Gederfde omzet (downtime) | €500 - €5.000+ | Afhankelijk van je dagomzet en herstelduur |
| SEO-herstel | €500 - €3.000 | Content opschoning, herindexatie, linkbuilding |
| Reputatieschade | Moeilijk te kwantificeren | Klanten die "Misleidende site" zagen komen niet terug |
| Boetes (AVG/GDPR) | Tot €10.000+ (MKB) | Als persoonsgegevens zijn gelekt zonder melding bij AP |
| Totaal MKB-scenario | €2.000 - €15.000+ |
Het NCSC Cybersecuritybeeld 2025 meldt dat een cyberincident Nederlandse bedrijven gemiddeld €270.000 kost. Dat cijfer omvat ook ransomware en datalekken bij grotere organisaties, maar zelfs voor het MKB liggen de kosten structureel hoger dan ondernemers verwachten.
Hoe voorkom je dat je WordPress opnieuw gehackt wordt?
Herstel zonder preventie is dweilen met de kraan open. Deze maatregelen kosten samen minder dan een uur per maand, maar verlagen je risico met 90%+.
De 8-punten beveiligingschecklist
- Update alles, altijd: WordPress-core, plugins en thema's -- bij voorkeur op een staging-omgeving eerst. In onze checklist voor website onderhoud leggen we uit hoe je dit structureel inricht
- Verwijder wat je niet gebruikt: elke inactieve plugin is een open raam. Deactiveren is niet genoeg -- verwijder ze
- Activeer 2FA op alle admin-accounts: gebruik een app als Google Authenticator of Authy, nooit SMS
- Installeer een Web Application Firewall (WAF): Wordfence (gratis) of Patchstack blokkeert bekende aanvalspatronen voordat ze je site bereiken
- Beperk inlogpogingen: standaard accepteert WordPress onbeperkte loginpogingen. Beperk ze tot 3-5 per IP
- Dagelijkse backups naar externe locatie: niet op dezelfde server. Gebruik UpdraftPlus of een hostingprovider die externe backups biedt
- Wijzig de standaard login-URL:
/wp-adminen/wp-login.phpzijn bij elke bot bekend. Plugins als WPS Hide Login wijzigen de URL in 30 seconden - Kies managed WordPress-hosting: providers als Kinsta, Savvii of CloudWays bieden server-level firewalls, automatische updates en geïsoleerde omgevingen. Duurder (€20-€50/maand) maar je elimineert een hele categorie risico's
Wanneer is WordPress het verkeerde platform?
Dat is de vraag die niemand stelt. WordPress draait 43% van het internet, maar die populariteit maakt het ook het grootste doelwit. Na een tweede of derde hack is het moment om je af te vragen: past dit platform nog bij mijn situatie?
Alternatieven als Next.js, headless CMS-oplossingen of volledig beheerde platforms verminderen je aanvalsoppervlak drastisch. Geen plugins betekent geen plugin-kwetsbaarheden. Lees in ons artikel over WordPress website laten maken wanneer WordPress de juiste keuze is -- en wanneer niet.
Veelgestelde vragen over een gehackte WordPress-site
Kan ik mijn gehackte WordPress-site zelf herstellen?
Ja, met technische basiskennis is zelf herstellen mogelijk. Je hebt FTP-toegang, een malwarescanner als Wordfence en 4-8 uur nodig. Het risico: mis je een backdoor, dan is de hacker binnen een paar dagen terug. Voor sites met klantgegevens of webshops raden we professionele hulp aan.
Hoe lang duurt het om een gehackte WordPress-site te herstellen?
Professionele opschoningsdiensten herstellen de meeste sites binnen 12-24 uur. Doe-het-zelf herstel kost 4-8 uur als je weet wat je doet, en langer als je moet uitzoeken hoe FTP en databases werken. SEO-herstel na een Google-blacklisting duurt daarna nog 2 weken tot 6 maanden.
Hoe weet ik of mijn WordPress-site gehackt is?
Controleer op vreemde redirects, onbekende admin-accounts, Google-waarschuwingen in Search Console, en onverklaarbare verkeerdalingen. Scan je site gratis met Sucuri SiteCheck of installeer Wordfence voor een diepere analyse. Je hostingprovider kan ook melden of er verdachte activiteiten zijn.
Wat kost het om een gehackte WordPress-site te laten opschonen?
Nederlandse specialisten rekenen €169 tot €350 voor volledige opschoning, inclusief 30 dagen garantie. De totale kosten van een hack (inclusief omzetverlies, SEO-herstel en reputatieschade) liggen doorgaans tussen €2.000 en €15.000 voor het MKB.
Moet ik een gehackte WordPress-site melden bij de Autoriteit Persoonsgegevens?
Als er persoonsgegevens gelekt kunnen zijn (denk aan klantaccounts, bestelgegevens, contactformulieren), ben je onder de AVG verplicht dit binnen 72 uur te melden bij de AP. Doe je dat niet, dan riskeer je een boete bovenop de hackschade.
Kan een beveiligingsplugin hacks volledig voorkomen?
Geen enkele plugin biedt 100% bescherming. Een goede beveiligingsplugin als Wordfence of Patchstack blokkeert het overgrote deel van geautomatiseerde aanvallen, maar je moet ook updates bijhouden, sterke wachtwoorden gebruiken en ongebruikte plugins verwijderen. Beveiliging is een gelaagd systeem, geen enkelproduct-oplossing.
Wil je weten of jouw website kwetsbaar is? Doe de gratis AI-scan en ontvang binnen 5 minuten een beveiligingsrapport met concrete verbeterpunten. Of bouw je liever vanaf nul een veilig fundament? Onze gids over website laten maken helpt je van strategie tot lancering.
Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech -- tech-leads met ervaring in AI, procesautomatisering en IT-consulting.