Vrijblijvende offerte

WordPress website gehackt: wat doe je nu, stap voor stap

Foto van Arjan Marsman

Arjan Marsman

WordPress website gehackt: wat doe je nu, stap voor stap

Je opent je browser, typt je domeinnaam in en ziet iets wat er absoluut niet hoort te staan. Een vreemde tekst, een doorverwijzing naar een Aziatische webshop, of gewoon een witte pagina met een foutmelding. Je eerste reactie is paniek. Begrijpelijk. Maar de volgende tien minuten bepalen of je dit snel oplost of verder in de problemen raakt.

Haal even adem. Dit is oplosbaar.

Hoe weet je zeker dat je gehackt bent?

Niet elke kapotte website is gehackt. Een mislukte update, een conflicterende plugin of een serverstoring geeft soms hetzelfde beeld. Maar er zijn signalen die specifiek op een hack wijzen:

  • Google toont een rode waarschuwingspagina ("This site may be hacked")
  • Bezoekers klagen dat ze worden doorgestuurd naar een andere website
  • Je ziet in Google Search Console meldingen over "handmatige acties" of vreemde URL’s die je zelf nooit hebt aangemaakt
  • Je WordPress-dashboard is onbereikbaar of er staan onbekende gebruikers in
  • Je hostingprovider heeft je account gesuspendeerd vanwege malware

Als twee of meer van deze dingen tegelijk spelen, ga er dan vanuit dat er iemand in je site is geweest.

Wat is er waarschijnlijk gebeurd?

Hoe weet je zeker dat je gehackt bent?

De meeste hacks op WordPress-sites zijn geen gerichte aanvallen. Een hacker heeft het niet specifiek op jou voorzien. Geautomatiseerde scripts scannen continu het internet op kwetsbare WordPress-installaties en slaan toe zodra ze een opening vinden.

De meest voorkomende oorzaken zijn:

Verouderde plugins of thema’s. Vier op de vijf gehackte WordPress-sites had op het moment van de hack minstens één plugin draaien die al maanden niet was bijgewerkt. Beveiligingslekken in populaire plugins zoals Contact Form 7 of WooCommerce worden publiekelijk gepubliceerd, inclusief instructies hoe je ze misbruikt. Als jij dan niet updatet, ben je een open deur.

Een zwak wachtwoord of hergebruikt wachtwoord. "Admin" als gebruikersnaam met een wachtwoord dat je ook voor je e-mail gebruikt: dat is een uitnodiging.

Goedkope of gedeelde hosting zonder isolatie. Op sommige hostingservers draait jouw site naast honderd andere sites. Als één van die sites geïnfecteerd raakt, kan malware overslaan. Dat heet cross-site contamination en het is een van de redenen waarom hostingkwaliteit ertoe doet.

Nulled themes of plugins. Gratis versies van betaalde plugins die je ergens hebt gedownload. Die bevatten vrijwel altijd malware. Altijd.

Stap 1: zet je site tijdelijk offline

Dit klinkt tegenstrijdig, maar het is het eerste wat je doet. Zolang je site online staat en geïnfecteerd is, stuurt hij bezoekers naar malafide pagina’s, verspreidt hij mogelijk malware naar hun apparaten en verslechtert hij je positie bij Google.

Zet je site in "maintenance mode" via je hostingpanel, of vraag je hostingprovider om de site tijdelijk te blokkeren. Als je bij Webplace4u host, bel je gewoon en regelen we dat direct.

Stap 2: verander alle wachtwoorden nu

Niet straks. Nu.

Verander het wachtwoord van je WordPress-beheerdersaccount, je hostingpanel, je FTP-toegang en het e-mailadres dat aan je WordPress-account is gekoppeld. Gebruik voor elk een uniek wachtwoord van minstens 16 tekens. Een wachtwoordmanager zoals Bitwarden (gratis) of 1Password maakt dat makkelijker.

Als je niet zeker weet of er onbekende beheerdersaccounts in je WordPress zijn aangemaakt, log dan in via phpMyAdmin in je hostingpanel en kijk in de tabel wp_users. Staat er iemand tussen die je niet herkent, verwijder dat account.

Stap 3: herstel een schone back-up

Stap 3: herstel een schone back-up

Als je recente back-ups hebt, is dit het moment om ze te gebruiken. Herstel de versie van voor de hack. Let op: "recent" betekent hier van voor het moment dat de hack plaatsvond, niet de meest recente back-up. Als de hack al weken geleden is begonnen (en dat is vaker het geval dan je denkt), herstel je mogelijk een al geïnfecteerde versie.

Controleer de datum van de hack zo goed mogelijk. Google Search Console toont soms wanneer vreemde URL’s voor het eerst zijn verschenen. Dat geeft je een indicatie.

Heb je geen back-ups? Dan is handmatige malwareverwijdering de enige optie. Dat is tijdrovend en vereist technische kennis. Op dat punt is het slim om iemand te bellen.

Stap 4: scan je site op malware

Als je toch zelf verder wil, gebruik dan een tool als Wordfence (gratis versie beschikbaar als WordPress-plugin) of de online scanner van Sucuri. Die geven je een redelijk beeld van welke bestanden zijn aangetast.

Wat je daarna doet met die resultaten is waar het technisch wordt. Malware verstopt zich graag in wp-includes, wp-content/uploads en in .php-bestanden die er legitiem uitzien. Verwijder je het verkeerde bestand, dan gaat je site kapot. Laat je het staan, dan blijft de infectie actief.

Een scan vertelt je waar het probleem zit. Het oplossen ervan is een ander verhaal.

Stap 5: update alles en sluit de opening

Na de hack: wat je anders doet

Nadat je site schoon is, update je WordPress zelf, alle plugins en het thema naar de nieuwste versie. Verwijder plugins die je niet gebruikt. Hoe minder software er draait, hoe kleiner het aanvalsoppervlak.

Controleer ook je gebruikerslijst nog een keer. Zet tweefactorauthenticatie aan voor alle beheerdersaccounts. Beperk het aantal mislukte inlogpogingen via een plugin als Limit Login Attempts Reloaded.

Wanneer bel je iemand?

Als je geen back-ups hebt van voor de infectie, als de scan malware vindt maar je niet weet hoe je die verwijdert, of als je site na herstel opnieuw geïnfecteerd raakt: dan stop je met zelf klikken en bel je iemand die dit dagelijks doet.

Dat is geen falen. Een loodgieter belt ook geen elektricien om te vragen hoe hij zelf de meterkast moet verbouwen.

Bij Webplace4u lossen we dit soort situaties op. We kijken wat er is gebeurd, maken de site schoon, herstellen wat nodig is en zorgen dat de opening gedicht is. Geen ticketsysteem, geen wachtrij. Je belt Arjan, je legt uit wat je ziet, en we gaan aan de slag. Wat het kost, hoor je vooraf.

Na de hack: wat je anders doet

Een gehackte site is een signaal dat iets in je beveiliging niet op orde was. Dat is geen verwijt, want de meeste ondernemers zijn terecht met andere dingen bezig. Maar het is wel het moment om een paar dingen structureel te regelen.

Automatische back-ups op een externe locatie, dagelijks of wekelijks afhankelijk van hoe actief je site is. Automatische updates voor WordPress-core en plugins. Een SSL-certificaat als je dat nog niet hebt. En hosting bij een partij die individuele sites isoleert en actief monitort op malware.

Dat laatste klinkt als een verkooppraatje, maar het scheelt je gewoon een hoop gedoe. Een site die goed wordt bijgehouden, wordt zelden gehackt. En als het toch gebeurt, heb je een back-up van gisteren in plaats van van zes maanden geleden.

De vraag is eigenlijk niet of je ooit te maken krijgt met een poging tot inbraak. De vraag is of je er klaar voor bent als het zover is.