Wat te doen als je WordPress gehackt is (stappenplan)

WordPress gehackt? Zo los je het op en voorkom je herhaling

Een gehackte WordPress website is schrikken. Misschien werkt je site niet meer, zie je vreemde meldingen, of zeggen klanten dat ze doorgestuurd worden naar rare pagina’s. Gelukkig is er een stappenplan om de schade te beperken en je site weer veilig online te krijgen.

In dit artikel lees je hoe je ontdekt of je site echt gehackt is, welke stappen je moet nemen om hem schoon te maken en hoe je voorkomt dat het opnieuw gebeurt. Alles in duidelijke taal, zodat je het zelf begrijpt en toepast.

Hoe herken je een gehackte website?

Soms merk je het meteen, soms pas later. Let op deze signalen:

• Je site is ineens heel traag of onbereikbaar.
• Er staan rare teksten of links die jij niet geplaatst hebt.
• Bezoekers worden doorgestuurd naar vreemde websites.
• Je krijgt meldingen van Google dat je site onveilig is.
• Je kunt niet meer inloggen in je WordPress admin.
• Er zijn nieuwe gebruikersaccounts die jij niet gemaakt hebt.

Twijfel je? Gebruik een gratis scanner zoals Sucuri SiteCheck om je site te controleren op malware.

Eerste hulp bij hack

Wordt je site gehackt, blijf rustig en werk stap voor stap.

1. Zet je site tijdelijk offline

Je wilt voorkomen dat bezoekers schade oplopen of dat Google je site markeert als onveilig.

• Gebruik een onderhoudsmodus-plugin of zet de site even op Coming Soon.

2. Verander al je wachtwoorden

Begin bij:

• WordPress admin
• FTP / hosting
• Database
• E-mail (als die gekoppeld is aan je site)

Gebruik sterke wachtwoorden die je nergens anders gebruikt.

3. Maak een back-up

Klinkt gek om een gehackte site te back-uppen, maar het is slim om een kopie te hebben van hoe de site er nu uitziet. Zo kun je later analyseren wat er fout ging of bestanden vergelijken.

Site schoonmaken

Er zijn verschillende manieren om een gehackte site op te schonen.

1. Handmatig opschonen

• Controleer je thema’s en plugins: verwijder alles wat je niet gebruikt.
• Installeer alle updates.
• Open de bestanden via FTP en kijk of er vreemde code staat in functions.php, .htaccess of wp-config.php. Vaak zie je rare regels code bovenaan of onderaan.
• Verwijder bestanden die er niet horen.

2. Plugins gebruiken

Er zijn beveiligingsplugins die malware opsporen en verwijderen. Populaire opties:

• Wordfence
• Sucuri Security
• MalCare

Deze tools scannen je bestanden en databases en helpen met het schoonmaken.

3. Back-up terugzetten

Heb je een recente back-up van voordat de hack begon? Zet die terug. Daarna direct alle plugins, thema’s en WordPress zelf updaten, zodat de hacker niet opnieuw binnenkomt.

Hosting inschakelen

Veel hostingbedrijven bieden hulp bij gehackte websites. Stuur een supportticket en vraag of ze:

• Je site kunnen scannen.
• Malware kunnen verwijderen.
• Een beveiligingsrapport kunnen geven.

Soms bieden ze dit gratis, soms betaal je extra. Het scheelt je veel tijd en stress als je niet technisch bent.

Schade beperken

1. Check je gebruikersaccounts

Ga in WordPress naar Gebruikers en verwijder accounts die je niet herkent.

2. Controleer WooCommerce (bij webshops)

Als je webshop gehackt is, check dan meteen:

• Of bestellingen kloppen.
• Of er vreemde accounts of transacties zijn.
• Of klantgegevens veilig zijn.

Licht klanten in als er kans is dat hun gegevens zijn buitgemaakt. Transparantie voorkomt erger.

3. Meld bij Google

Als Google je site gemarkeerd heeft als onveilig, meld je via Google Search Console dat je site opgeschoond is. Dan wordt hij opnieuw gecontroleerd.

Hoe voorkom je dat je site opnieuw gehackt wordt?

Een hack kan iedereen overkomen. Maar vaak komt het doordat beveiliging niet op orde is. Met deze tips verklein je de kans enorm:

1. Houd alles up-to-date

• Update WordPress zodra er een nieuwe versie is.
• Update thema’s en plugins regelmatig.
• Verwijder alles wat je niet gebruikt.

2. Kies een goede hosting

Goedkope hosting is vaak minder veilig. Kies een provider die actief beveiligt, back-ups maakt en malware-detectie heeft.

3. Installeer een beveiligingsplugin

Plugins zoals Wordfence, iThemes Security of Sucuri beschermen je site tegen veelvoorkomende aanvallen.

4. Gebruik sterke inlogbeveiliging

• Kies lange, unieke wachtwoorden.
• Zet two-factor authentication (2FA) aan.
• Beperk het aantal inlogpogingen met een plugin.

5. Maak regelmatig back-ups

Met een plugin zoals UpdraftPlus of via je hosting. Bewaar back-ups ook buiten je server, bijvoorbeeld in Google Drive of Dropbox.

6. Let op met plugins en thema’s

Download alleen van betrouwbare bronnen. Gratis thema’s of plugins buiten de officiële WordPress repository zijn vaak een risico.

Extra tips voor WooCommerce

Een gehackte webshop is extra pijnlijk, want het gaat om geld en klantgegevens.

• Gebruik altijd een SSL-certificaat (https://).
• Zorg dat WooCommerce en alle extensies altijd up-to-date zijn.
• Overweeg een betaalde firewall-service zoals Sucuri of Cloudflare.
• Controleer regelmatig je bestellingen en gebruikersaccounts.

Veelgemaakte fouten

1. Te lang wachten met updaten
   Updates zijn er vaak juist omdat er een lek gevonden is. Stel je ze uit, dan maak je het hackers makkelijk.
2. Geen back-up hebben
   Zonder back-up kun je je site soms helemaal kwijt zijn.
3. Denken dat het jou niet overkomt
   WordPress is populair en daardoor een doelwit. Ook kleine blogs en webshops worden gehackt.

Samenvatting

Een gehackte WordPress site is vervelend, maar met het juiste stappenplan krijg je hem weer veilig:

1. Zet je site tijdelijk offline en verander je wachtwoorden.
2. Maak een back-up en scan je site.
3. Verwijder malware handmatig, met een plugin of via je hosting.
4. Controleer gebruikers, WooCommerce-orders en meld bij Google.
5. Zorg voor betere beveiliging om herhaling te voorkomen.

Met regelmatige updates, goede back-ups en een beveiligingsplugin verklein je de kans dat je ooit nog een hack meemaakt. Sluit daarom vandaag nog een WordPress Abonnement af van WPFocus.nl.