Over onsTechnologieënBlog
Terug naar blog

WordPress-site gehackt? Volledig herstelgids voor Belgische bedrijven

8 maart 20269 min leestijdICTLAB Team

Ontdekken dat uw WordPress-site is gehackt is een stressvolle ervaring, vooral wanneer uw bedrijf ervan afhankelijk is. Voor Belgische bedrijven is een gecompromitteerde website niet alleen een technisch probleem — het kan GDPR-meldingsverplichtingen activeren, het vertrouwen van klanten beschadigen en omzet kosten voor elk uur dat uw site offline blijft. Deze stapsgewijze herstelgids begeleidt u bij het identificeren van de inbreuk, het opschonen van uw site en het versterken ervan tegen toekomstige aanvallen.

Tekenen dat uw WordPress-site is gehackt

Veel hacks blijven dagen of weken onopgemerkt. De waarschuwingssignalen kennen stelt u in staat snel te handelen en de schade te beperken:

  • Onverwachte omleidingen — bezoekers worden zonder uw medeweten doorgestuurd naar spam-, phishing- of farmaceutische sites. Dit is een van de meest voorkomende hack-symptomen.
  • Vreemde beheerdersaccounts — nieuwe gebruikersaccounts met beheerdersrechten die u niet hebt aangemaakt. Controleer onmiddellijk uw Gebruikers-paneel.
  • Gewijzigde bestanden — WordPress-kernbestanden, themabestanden of pluginbestanden zijn aangepast. U kunt onbekende PHP-bestanden opmerken in uw uploads-map.
  • Google-waarschuwingen — Google Search Console markeert uw site vanwege malware of misleidende inhoud, of uw site toont "Deze site is mogelijk gehackt" in de zoekresultaten.
  • Trage prestaties of hoog bronnengebruik — cryptominers of spamscripts die op uw server draaien verbruiken CPU en geheugen, wat merkbare vertragingen veroorzaakt.
  • Geinjecteerde spaminhoud — verborgen links, pagina's of berichten verschijnen op uw site die producten of diensten promoten waar u niets mee te maken hebt.
  • Problemen met e-mailbezorging — uw domein staat op een zwarte lijst omdat de hacker uw server heeft gebruikt om spam-e-mails te versturen.

Regelmatige kwetsbaarheidsscanning kan veel van deze indicatoren detecteren voordat ze escaleren tot een volledige inbreuk.

Directe stappen na het ontdekken van een hack

Snelheid telt. Hoe langer malware actief blijft, hoe meer schade het aanricht. Volg deze stappen in volgorde:

  1. Raak niet in paniek en verwijder nog niets — u hebt bewijsmateriaal nodig om de aanvalsvector te begrijpen en de omvang van de inbreuk te beoordelen.
  2. Haal uw site offline — activeer de onderhoudsmodus of blokkeer tijdelijk de publieke toegang. Dit voorkomt dat bezoekers worden blootgesteld aan malware en stopt de aanvaller van verdere schade.
  3. Wijzig onmiddellijk alle wachtwoorden — WordPress-beheerderswachtwoorden, FTP/SFTP-inloggegevens, databasewachtwoorden, wachtwoorden van het hostingcontrolepaneel en alle verbonden API-sleutels.
  4. Documenteer alles — noteer de datum en het tijdstip van ontdekking, de waargenomen symptomen en maak screenshots. Deze documentatie is essentieel voor GDPR-inbreukmeldingen en voor forensische analyse.
  5. Neem contact op met uw hostingprovider — zij kunnen serverlogs hebben, helpen bij het identificeren van het toegangspunt en mogelijk schone back-ups beschikbaar hebben.
  6. Beoordeel of persoonsgegevens zijn gecompromitteerd — als uw WordPress-site klantgegevens opslaat via contactformulieren, WooCommerce-bestellingen of gebruikersregistraties, hebt u mogelijk een GDPR-meldingsplichtig datalek.

Malware identificeren en verwijderen

Systematische malwareverwijdering vereist het controleren van elke laag van uw WordPress-installatie:

Opschoning op bestandsniveau

  • Vergelijk kernbestanden — download een schone kopie van uw WordPress-versie en vergelijk elk bestand in wp-admin en wp-includes met de originelen. Vervang alle gewijzigde bestanden.
  • Inspecteer wp-content — controleer uw mappen voor thema's, plugins en uploads op onbekende PHP-bestanden. Hackers verbergen vaak achterdeurtjes in bestanden met legitiem klinkende namen, zoals wp-cache.php of class-wp.php in uw uploads-map.
  • Controleer wp-config.php — zoek naar onbekende code die boven of onder uw configuratie-instellingen is geinjecteerd. Genereer uw WordPress-beveiligingssleutels en salts opnieuw.
  • Scan .htaccess — kwaadaardige omleidingsregels worden vaak in .htaccess-bestanden geplaatst. Vergelijk met de standaard WordPress .htaccess.
  • Zoek naar versleutelde code — zoek naar base64_decode, eval, str_rot13, gzinflate en vergelijkbare functies die vaak worden gebruikt om kwaadaardige payloads te verbergen.

Database-opschoning

  • Controleer de wp_users-tabel — verwijder alle ongeautoriseerde beheerdersaccounts.
  • Inspecteer wp_options — zoek naar verdachte vermeldingen in siteurl, home en eventuele onbekende optienamen die achterdeurtje-configuraties zouden kunnen zijn.
  • Doorzoek berichtinhoud — scan wp_posts op geinjecteerde spamlinks, iframes of JavaScript. Besteed bijzondere aandacht aan berichten met recente wijzigingsdata die u niet herkent.
  • Controleer geplande taken — bekijk wp_cron-vermeldingen op kwaadaardige geplande gebeurtenissen die uw site na opschoning opnieuw kunnen infecteren.

Het volgen van best practices voor webapplicatiebeveiliging tijdens het opschonen zorgt ervoor dat u niet per ongeluk nieuwe kwetsbaarheden introduceert terwijl u bestaande repareert.

Uw site versterken na herstel

Malware opschonen is slechts de helft van de strijd. Zonder versterking wordt uw site waarschijnlijk opnieuw gecompromitteerd. Implementeer deze maatregelen onmiddellijk na herstel:

  • Werk alles bij — WordPress-kern, alle thema's en alle plugins naar hun nieuwste versies. Verwijder alle thema's of plugins die u niet actief gebruikt.
  • Installeer een beveiligingsplugin — Wordfence of Sucuri Security biedt een webapplicatiefirewall, malwarescanning en inlogbescherming.
  • Schakel tweefactorauthenticatie in — voeg 2FA toe aan elk beheerders- en redacteuraccount.
  • Beperk bestandsrechten — stel mappen in op 755, bestanden op 644 en wp-config.php op 600.
  • Schakel bestandsbewerking uit — voeg define('DISALLOW_FILE_EDIT', true); toe aan wp-config.php.
  • Implementeer regelmatige back-ups — automatiseer dagelijkse back-ups die offsite worden opgeslagen zodat u altijd een schoon herstelpunt hebt.
  • Stel monitoring in — configureer bestandsintegriteitsmonitoring en uptime-waarschuwingen om toekomstige compromitteringen snel te detecteren.

Voor een uitgebreide versterkingschecklist leest u onze speciale gids over WordPress-beveiligingshardening.

Belgische GDPR-meldingsverplichtingen bij datalekken

Als uw gehackte WordPress-site persoonsgegevens opsloeg — en de meeste bedrijfswebsites doen dat, via contactformulieren, nieuwsbriefinschrijvingen, gebruikersaccounts of e-commercebestellingen — hebt u wettelijke verplichtingen onder de GDPR:

  • 72-uurs meldingsvenster — u moet de Belgische Gegevensbeschermingsautoriteit (GBA) binnen 72 uur na kennisname van een inbreuk op persoonsgegevens op de hoogte stellen, tenzij het onwaarschijnlijk is dat de inbreuk een risico vormt voor de rechten van betrokkenen.
  • Beoordeel het risico — bepaal welke persoonsgegevens zijn blootgesteld (namen, e-mailadressen, wachtwoorden, betalingsinformatie) en hoeveel personen zijn getroffen.
  • Informeer getroffen personen — als de inbreuk een hoog risico vormt voor de rechten en vrijheden van personen, moet u de getroffen personen ook rechtstreeks informeren.
  • Documenteer de inbreuk — ongeacht of u melding maakt, vereist de GDPR dat u een intern register bijhoudt van alle datalekken, inclusief feiten, gevolgen en genomen herstelmaatregelen.

Het begrijpen van de kruising tussen cybersecurity en compliance is essentieel. Onze gids over kosten van een beveiligingsaudit in Belgie kan u helpen budget te reserveren voor proactieve maatregelen die datalekken in de eerste plaats voorkomen.

Wanneer professionele hulp inschakelen

Hoewel kleine hacks soms intern kunnen worden opgelost, zijn er situaties die professionele cybersecurity-hulp rechtvaardigen:

  • U kunt het toegangspunt niet identificeren — als u niet weet hoe de aanvaller is binnengekomen, kunt u niet zeker zijn dat de kwetsbaarheid is verholpen.
  • De hack blijft terugkomen — aanhoudende herinfectie betekent meestal dat een achterdeurtje is gemist tijdens het opschonen.
  • Persoonsgegevens zijn gecompromitteerd — GDPR-dataleksituaties vereisen zorgvuldige behandeling en documentatie die baat heeft bij professionele begeleiding.
  • Uw site verwerkt financiele transacties — WooCommerce- of betalingsverwerkingssites vereisen forensische analyse om te bepalen of betalingsgegevens zijn buitgemaakt.
  • U mist technische expertise — een opschoningspoging zonder voldoende kennis kan bewijsmateriaal vernietigen en de situatie mogelijk verergeren.

Voordat u een beveiligingsbedrijf inschakelt, leer hoe u zich voorbereidt op een penetratietest zodat u een grondige post-herstelbeoordeling kunt plannen.

Hoe ICTLAB kan helpen

Het cybersecurityteam van ICTLAB biedt noodherstel na WordPress-hacks en forensische analyse voor Belgische bedrijven. Wij identificeren de aanvalsvector, verwijderen alle kwaadaardige code, schonen uw database op, versterken uw installatie en helpen u aan uw GDPR-meldingsverplichtingen te voldoen. Na herstel voeren wij een volledige beveiligingsaudit uit om te garanderen dat uw site beschermd is tegen toekomstige aanvallen.

Hulp nodig met Cybersecurity & Compliance?

Uitgebreide cybersecuritydiensten van penetratietesten tot compliance. Bescherm uw bedrijf tegen evoluerende bedreigingen met het in Brussel gevestigde beveiligingsteam van ICTLAB.

Meer informatie Contacteer ons

Gerelateerde artikelen

15 januari 2025

NIS2 België: Volledige Gids voor Compliance 2026

NIS2-compliance gids voor Belgische organisaties: wie moet voldoen, belangrijkste vereisten, deadlines, sancties en stapsgewijze voorbereidingschecklist.

20 februari 2025

Pentest Kosten België 2026: Prijzen & Tarieven

Pentest kosten in België: web pentest vanaf €4.000, netwerk pentest vanaf €5.000, red team vanaf €20.000. Volledige prijsopbouw en budgettips.