Contact
SPOEDHULP — HACK-RECOVERY

WordPress gehackt?

Onbekende admin-accounts, vreemde redirects, Japanse of Chinese spamtekst in Google-zoekresultaten, hosting-account geschorst voor spam-uitstoot, of de Wordfence/Sucuri-melding die rood oplicht? Een gehackte WordPress is geen ramp — wel een race tegen je domein-reputatie. Ik ruim dagelijks WordPress-hacks op: detectie, complete schoonmaak, hardening en Google-herindexering.

Bel direct: 06 12 29 47 06 WhatsApp
  • Reactie op werkdagen
  • Vertrouwelijke aanpak, NDA op verzoek
  • Hardening + monitoring inbegrepen

Hoe herken je dat WordPress gehackt is?

Een gehackte site ziet er voor jou vaak nog normaal uit. Aanvallers verstoppen hun activiteit met cloaking, gerichte redirects en hidden user-accounts. Herken je een van deze zes signalen? Bel meteen, niet morgen.

01
Google toont "This site may be hacked"

Search Console heeft mogelijk al een Manual Action geplaatst. Bezoekers haken massaal af — elk uur kost ranking en vertrouwen. Vaak gepaard met Japanse, Chinese of Pharma-spam.

02
Onbekende admin-accounts

Open Users → All Users en zie accounts die je niet aanmaakte — vaak wpadmin, support of admin1234 met buitenlandse mailadressen. Klassieke persistentie-truc die blijft bestaan na een wachtwoord-reset.

03
Site redirect vanuit Google

Klik je vanaf Google op je eigen site, dan word je doorgestuurd naar een buitenlandse webshop, casino of pornosite. Bij directe URL-invoer werkt 't normaal. Klassieke "first-visit redirect" die zoekverkeer kaapt en monetiseert.

04
Hoster schorst je account voor spam

Mail van TransIP, Hostnet of Antagonist: "verdachte uitgaande mail-activiteit". Vaak met deadline van 24–48 uur. Site stuurt duizenden spam-mails vanaf jouw domein. Volledig stappenplan →

05
Wordfence of Sucuri alarmeert

Plotse melding: file-integrity-checks vinden gewijzigde core-bestanden, scans tonen malware-signaturen, of excessief veel mislukte login-pogingen. Detecteren doet de plugin — opruimen vraagt handwerk en kennis van WP-internals.

06
Verdachte PHP-bestanden in /uploads/

De uploads-map hoort alleen afbeeldingen te bevatten. Vind je daar .php-bestanden of random-named scripts? Vrijwel altijd webshells — backdoors waarmee aanvallers terugkomen na elke cleanup die dit mist.

Direct na ontdekking — wat doe je nu?

De eerste minuten na ontdekking zijn cruciaal. Niet uit paniek slechte keuzes maken, niet voortijdig bestanden weggooien, niet de aanvaller laten terugkomen. Volg deze stappen, dan kan ik daarna efficiënt opruimen.

  1. Niet in paniek raken — je site is herstelbaar. Zelfs een grondig gehackte site is in 95% van de gevallen volledig te herstellen, inclusief Google-rankings. Maar paniek-acties (alle bestanden verwijderen, op nieuwe hosting opnieuw beginnen, plugin-update forceren) verergeren het probleem of vernietigen forensische evidence. Eerst even ademhalen.
  2. Maak een forensische backup VAN DE GEHACKTE staat. Bestanden + database, naar een externe locatie (cloud-storage, lokaal, externe drive). Dit is je veiligheidsnet en mijn diagnose-startpunt. Verwijder NIETS voordat dit gemaakt is — de gewijzigde bestanden zelf zijn evidence van wat er gebeurde.
  3. Verander direct alle wachtwoorden. WordPress admins, FTP/SFTP, hosting control panel, database, mailboxen op je domein. Gebruik 20+ tekens, manager-gegenereerd. Heeft de aanvaller credentials gestolen, dan zijn die nu ongeldig.
  4. Roteer de WordPress secret keys. In wp-config.php staat een blok met AUTH_KEY, SECURE_AUTH_KEY, NONCE_KEY etc. Genereer nieuwe via api.wordpress.org/secret-key/1.1/salt/ en vervang het hele blok. Iedereen wordt uitgelogd, gestolen sessies zijn ongeldig.
  5. Zet site eventueel zacht offline. Bij actieve mailspam, redirect-hack of defacement: tijdelijke onderhoudspagina voorkomt verdere reputatie-schade. Plugin als WP Maintenance Mode, of een eenvoudige maintenance.html via .htaccess. Niet nodig bij stille hacks (alleen SEO-spam) — daar maakt offline het reputatie-herstel juist moeilijker.
  6. Check Users → All Users in wp-admin. Onbekende admin-accounts? Niet meteen verwijderen — schrijf eerst de namen op, en als 't kan een screenshot. Soms gebruikt de aanvaller die accounts om bij te houden welk niveau toegang ze hebben. Verwijderen na forensische backup.
  7. Schrijf alles op wat je ziet. Welke meldingen krijg je? Welk spam-tekst zie je in Google? Welke mailbounces komen terug? Welke error-meldingen krijgen bezoekers? Hoe meer concrete data, hoe sneller mijn diagnose. Maak screenshots, kopieer URL's.
  8. NIET zelf bestanden gaan deleten. Zonder kennis van wat normaal is in WordPress core/plugins/themes weet je niet welke bestanden geïnjecteerd zijn versus origineel. Deletion of de verkeerde files breekt je site of verwijdert evidence. Wacht tot ik er met juiste tools naar kijk.
  9. Bel of WhatsApp mij. Met de info van stap 7 in de hand kan ik vrijwel direct een vector-hypothese geven en een tijds- en kostenschatting. 06 12 29 47 06 — bij hosting-suspending-deadline of actieve mailspam de snelste route.

Zo werk ik: detect, clean, harden

Een goede WordPress-cleanup is geen "verwijder de duidelijke spam" — het is forensisch werk. Aanvallers laten typisch 3-7 verschillende toegangspunten achter. Allemaal vinden, opruimen, en daarna dichten. Anders komt 't binnen weken terug.

01

Detect & Contain

Forensische backup, logs scannen (access_log, error_log, debug.log), file-integrity-check tegen schone WordPress-baseline, database-sweep op spam-injecties en hidden admins. Lockdown van de site zodat verdere schade voorkomen wordt tijdens de cleanup.

02

Clean

Alle malware, webshells, backdoors, geïnjecteerde admin-accounts, sitemap-injecties en database-spam grondig verwijderen. Core, plugins en themes opnieuw installeren vanaf schone bron. Custom code vergelijken met laatste schone backup.

03

Harden & Monitor

Toegangspunten dichten: 2FA, sterke wachtwoorden, secret keys, plugin-audit, uploads-map vergrendelen, file-editing in wp-admin uit. Search Console-herindexering aanvragen voor ranking-herstel. Monitoring zodat een volgend incident in dagen wordt opgemerkt, niet maanden.

De hack-types die ik het meest tegenkom

Vier varianten dekken samen ongeveer 80% van de WordPress-hacks die ik dagelijks zie. De symptomen verschillen, de aanpak is grotendeels dezelfde: detect, contain, clean, harden. Klik door voor diepe technische uitleg per variant.

Japanse SEO-spam (cloaking) Namaak Yeezy/Louis Vuitton/Gucci-listings in Google. Specifiek gericht op Googlebot — jij ziet niks, crawlers wel.
Stappenplan →
Chinese SEO-spam Chinese tekens in zoekresultaten terwijl je site er normaal uitziet. Ranking-schade is direct merkbaar, herstel kost weken.
Stappenplan →
Pharma hack (Viagra/Cialis-spam) Eén van de oudste WordPress-hacks. Verstopt in posts, comments, wp_options en kwetsbare plugins.
Stappenplan →
Casino-spam (MySQL trigger-backdoor) Gokken-pagina's in Google, witte pagina bij bezoekers. Persistence zit als MySQL-trigger in de database — daarom komt 'ie steeds terug.
Stappenplan →
"Mijn site verstuurt spam" Hoster waarschuwt of heeft account geschorst. Onderscheid echte hack van spoofing, alle vectoren opruimen, domein van blacklists.
Stappenplan →
WordPress beveiligen — 10 stappen Preventie is goedkoper dan opruiming. 95% van succesvolle hacks gebruikt bekende, te voorkomen zwakheden.
Lees gids →
SPF, DKIM en DMARC instellen Drie DNS-records die spoofing onmogelijk maken. Standaard onderdeel van hardening na hack-opruiming.
Lees gids →

Mijn 5 hardening-regels

Een opruiming zonder hardening is uitstellen, niet oplossen. Aanvallers vonden je site al — komen ze terug? Dat hangt af van hoe deze vijf basisregels zijn ingericht.

  1. 01

    2FA op élke admin-account, geen uitzonderingen

    Een gestolen wachtwoord werkt niet meer als de tweede factor nodig is. Plugin als WP 2FA of Wordfence Login Security, gekoppeld aan Google Authenticator of Authy. Geen "ik gebruik een sterk wachtwoord, dat is genoeg" — dat is het niet.

  2. 02

    De /uploads-map mag nooit PHP draaien

    Dit is dé route waar aanvallers via een kwetsbare plugin een webshell uploaden. Een .htaccess in wp-content/uploads/ die .php-bestanden weigert breekt 80% van alle automatische aanvallen. Eén regel, gigantische impact.

  3. 03

    File-editing in wp-admin uit

    In wp-config.php: define('DISALLOW_FILE_EDIT', true);. Wie eenmaal binnen is via een gestolen admin-account kan dan niet direct in plugin- of theme-files schrijven. De aanval-keten breekt op het laatste moment.

  4. 04

    Plugins verwijderen, niet deactiveren

    Een gedeactiveerde plugin is geen veilige plugin. De code staat nog op de server en kan via een direct request kwetsbaarheden bieden. Niet meer in gebruik? Volledig verwijderen. Hetzelfde voor themes — alleen de actieve plus één fallback.

  5. 05

    File-integrity-monitoring is geen luxe

    Backup is herstel, geen security. Wordfence of Sucuri scannen continu op gewijzigde core- en plugin-bestanden. Bij toekomstige compromittering: melding binnen uren in plaats van weken — en weken-vroege detectie scheelt vaak het verschil tussen 1 uur opruimen en een volledige rebuild.

Waarom geen plugin, hoster of webbouwer?

Hosting-support, security-plugins en je oorspronkelijke webbouwer — allemaal nuttig op hun manier, maar zelden de juiste partij voor een complete hack-cleanup. Hier wat elk wel en niet doet.

Wat doen hoster, plugin en webbouwer wél?

  • Hoster: account schorsen of waarschuwen bij spam-uitstoot
  • Hoster: hosting-niveau backups beschikbaar maken
  • Hoster: server-firewall en mod_security beheren
  • Security-plugin: bekende malware-signaturen detecteren
  • Security-plugin: brute-force-pogingen op wp-login blokkeren
  • Webbouwer: oorspronkelijke site bouwen en functioneel onderhouden

Wat doen ze meestal niét?

  • Hoster: compleet uitkammen van je site naar backdoors
  • Hoster: SEO-spam injecties uit database verwijderen
  • Hoster: hardening op WordPress-niveau implementeren
  • Plugin: nieuwe of geraffineerde malware (zonder bekende signature) detecteren
  • Plugin: na detectie de daadwerkelijke cleanup doen
  • Webbouwer: forensische analyse van een ingebroken site (zelden hun specialisme)
  • Webbouwer: Google-reindex en ranking-herstel begeleiden

In de praktijk zie ik gehackte sites die door een security-plugin zijn "schoongemaakt" maar binnen 2-3 weken opnieuw besmet zijn. De plugin vond de duidelijke malware, maar miste de drie webshells in een uploads-submap, de cron-job die elke 30 minuten een backdoor opnieuw uploadde, en de hidden admin-account met buitenlandse e-mail. Die complete uitkam-cyclus is waar mijn werk zit.

Elke uur dat de hack actief is verliest je domein verder reputatie.

Bij actieve SEO-spam, mailspam-uitstoot of een hosting-suspending telt elke minuut. Volledige cleanup vaak nog dezelfde dag, ranking-herstel binnen 2-4 weken.

Direct hulp aanvragen

Veelgestelde vragen

Wat klanten in deze paniek-momenten meestal eerst vragen.

Hoe snel kun je naar mijn gehackte site kijken?

Ik reageer op werkdagen. 's Avonds en in het weekend ben ik bereikbaar met een toeslag die ik vooraf bespreek.

Wat kost het opruimen van een gehackte WordPress meestal?

Een typische opruiming kost 3-8 uur werk: forensische analyse, complete cleanup, hardening en monitoring-setup. Eenvoudige scenario's (één SEO-spam-variant + standaard hardening) zijn vaak 2-4 uur. Complexe scenario's met meerdere monetisaties (SEO-spam + mailer-misbruik + backdoors) of grote sites kunnen 6-12 uur kosten. Diagnose is altijd kosteloos en geeft je een prijsschatting voordat we beginnen.

Hoe lang duurt een complete cleanup?

Een typische opruiming is binnen één werkdag klaar — vaak 4-6 uur. Bij grote of zwaar gecompromitteerde sites kan 't 1-2 dagen duren. Tijdens de opruiming zet ik je site soms tijdelijk in onderhoudsmodus om verdere schade te voorkomen. Volledige Google-herindexering en ranking-herstel duurt daarna nog 1-4 weken — daar kan ik niet aan versnellen, maar URL Inspection in Search Console helpt prioriteren.

Komt de hack terug nadat je 'm hebt opgeruimd?

Niet als de hardening goed is. Een opruiming zonder dichten van het toegangspunt is wachten op herhaling — daarom is hardening standaard onderdeel van mijn aanpak. Concrete stappen: alle wachtwoorden vernieuwen, secret keys roteren, 2FA aanzetten, plugins/themes auditen, file-integrity monitoring, hosting-firewall. 30 dagen garantie: komt 'ie binnen die termijn terug, dan los ik 't kosteloos op.

Krijg ik mijn Google-rankings terug na een hack?

In vrijwel alle gevallen, ja — mits de cleanup grondig was. Google haalt geïnjecteerde pagina's vanzelf weg zodra ze opnieuw crawlen. Voor versnelling: schone sitemap.xml indienen in Search Console, URL Inspection → Request Indexing voor de belangrijkste pagina's, en bij een Manual Action een Review aanvragen. Volledig herstel: typisch 2-6 weken. Bij langdurige hack (> 3 maanden) kan herstel langer duren omdat Google's vertrouwen herstellen tijd kost.

Kan ik 't zelf opruimen?

Technisch kan het — maar 80% van zelf-opruimingen mist één of meer backdoors, waardoor de hack binnen weken terugkomt. Aanvallers laten typisch 3-7 verschillende toegangspunten achter (webshells, cron-jobs, gewijzigde core-files, hidden admin-users). Plus: hardening na opruiming is een specialisme. Voor kleine eenvoudige hacks op niet-bedrijfskritische sites kun je m'n kennisbank-artikelen volgen; voor commerciële sites is professionele hulp meestal de meer kosteneffectieve route.

Wat als mijn hosting-account al geschorst is voor spam?

Komt regelmatig voor — vaak met een deadline van 24-48 uur om aan te tonen dat 't is opgelost. Ik werk dan onder tijdsdruk: directe communicatie met hosting-support, snel-pad-cleanup, bewijs leveren dat alle vectoren zijn gedicht. In de meeste gevallen krijg je je account binnen een paar uur terug zodra hosting ziet dat de bron echt is verwijderd.

Welke toegang heb je nodig om te starten?

Idealiter: SSH/SFTP-toegang plus WordPress-admin. Met SSH kan ik snel error_logs scannen, file-changes detecteren en backdoors vinden. Heb je geen SSH? Dan FTP plus hosting-control-panel volstaat ook, alleen iets trager. Ik behandel toegangsgegevens vertrouwelijk en wijzig wachtwoorden direct na afronding zodat de toegang dichtgaat.

Wat als mijn site Japanse, Chinese of Viagra-spam in Google toont?

Drie klassieke SEO-spam-varianten. Japanse spam toont namaak Louis Vuitton/Gucci/Yeezy-listings; Chinese spam toont generieke Chinese productpagina's; Pharma hack toont Viagra/Cialis. Alle drie zijn cloaking-hacks waar Googlebot andere content krijgt dan jij. Ik ken alle drie de patronen en heb specifieke detectie- en cleanup-procedures. Volledig herstel inclusief Google-reindex: typisch 2-4 weken.

Neem contact op

Bellen of WhatsApp is bij urgente zaken het snelst — meestal reageer ik zo snel mogelijk. Ook mailen of een bericht via het formulier op de homepage kan altijd.

Online — reactie op werkdagen
Daniel Mulder

Daniel Mulder

Website Technical Support Specialist
WordPress · Drupal · Joomla · OpenCart · CMS Made Simple

15+ JAAR
500+ SITES
4u REACTIE
Diagnose altijd kosteloos 30 dagen garantie op fixes KvK 63456842 · Werkzaam in heel NL
WhatsApp Snelste manier — direct chatten, ook foto's en logs delen 06 12 29 47 06 Bellen — bij noodgevallen het snelste pad info@wpts.nl E-mail — voor uitgebreidere uitleg, screenshots of logs

Werkuren

Maandag – Vrijdag09:00 – 18:00
ZaterdagOp afspraak
ZondagGesloten

Spoed buiten werkuren? Bel altijd — bij echte noodgevallen neem ik zo snel mogelijk contact op.