Je winkelwagen is leeg
Producten die je toevoegt, verschijnen hier.
Malware op je website ontdekt? Volg onze checklist 2026: detecteer, verwijder en herstel je site. Gratis tools, hostingtips en Google-blacklist verwijderen.
Samenvatting: malware van je website verwijderen
Wereldwijd raakten in Q1 2026 ruim 474.000 websites besmet, een verdubbeling ten opzichte van het vorige kwartaal. Kwetsbaarheden worden gemiddeld binnen 5 uur na bekendmaking uitgebuit. Volg de drie-fasen-checklist in dit artikel: detecteer de infectie, reinig bestanden en database, herstel en harden je beveiliging zodat je niet opnieuw wordt geraakt.
Je ontdekt op een ochtend dat je website bezoekers doorstuurt naar een casino-site. Of je hostingprovider mailt dat je account is opgeschort wegens actieve malware-verspreiding. Het overkomt meer websitebeheerders dan je verwacht. In Q1 2026 werden wereldwijd 474.000 websites met malware gedetecteerd, een stijging van 100% ten opzichte van het vorige kwartaal.[1] Elke gehackte WordPress
KeurigOnline zegtWordPress
De aanvallers zijn snel. De mediane tijd tussen de bekendmaking van een kwetsbaarheid en massale exploitatie is slechts 5 uur.[2] En 62% van alle cyberaanvallen in Nederland is gericht op het MKB.[6] Wachten tot het vanzelf overgaat is geen strategie.
Dit artikel geeft je een gefaseerde checklist: van de eerste herkenningssignalen tot de Google-herbeoordeling na opschoning. Stap voor stap, zodat je precies weet wat je wanneer moet doen.

Malware gedraagt zich vaak onzichtbaar voor de sitebeheerder, maar is goed zichtbaar voor bezoekers of voor Google. Bekijk de website-hack voorbeelden uit de praktijk als je wilt zien hoe een besmetting eruitziet. De tien meest voorkomende signalen:
wp-content/uploads/ horen daar niet thuis en zijn een klassiek teken van een backdoor.Let op: stealthy infecties

Voordat je begint met opschonen, wil je weten wat je precies te doen staat. Drie gratis tools geven je een eerste beeld, elk met zijn eigen blinde vlekken.
Sucuri SiteCheck scant je URL op bekende malware-indicatoren en controleert meteen of je site op zwarte lijsten van Google, McAfee en andere aanbieders staat. De scan duurt minder dan een minuut en is volledig gratis. Let op: Sucuri scant alleen de frontend (de HTML
KeurigOnline zegtHTML
Ga in Google Search Console naar "Beveiliging en handmatige acties" en vervolgens naar "Beveiligingsproblemen". Dit is de officiële Google-bron: als Google malware of misleidende content heeft gedetecteerd, staat het hier. Het tabblad "Handmatige acties" laat zien of een Google-reviewer je site manueel heeft bestraft. Gebruik Search Console ook later voor de herbeoordeling na opschoning.
VirusTotal controleert een URL of bestand tegen de databases van meer dan 70 virusscanners tegelijk. Handig voor het controleren van individuele bestanden die je verdacht vindt, of voor een tweede mening over je domeinnaam
KeurigOnline zegtDomeinnaam
Dieper scannen: server-level scan
De eerste prioriteit is schade beperken, voor bezoekers en voor je SEO-positie. Doorloop deze stappen in volgorde. Je kunt ze als werkdocument gebruiken: vink elk punt af voordat je doorgaat naar het volgende.
Tip: Bekijk de "Last Modified"-tijdstempel van kernbestanden via de bestandsbeheerder in je hosting control panel of via SFTP. Een gewijzigd wp-config.php of .htaccess op een onverwacht tijdstip is een direct alarmsignaal.
Nu het beeld compleet is, begin je met het daadwerkelijke opschonen. Dit is het meest tijdsintensieve deel. Als er bij je hoster een schone backup beschikbaar is van vóór de infectie, is die terugzetten de snelste en zekerste route. Zonder schone backup doorloop je de stappen hieronder handmatig.
Let op: sluit eerst de toegangspoort
Download een schone versie van WordPress via WordPress.org en vergelijk de kernbestanden met die op jouw server. Bestanden in wp-includes/ en wp-admin/ moeten identiek zijn aan de originelen. Elke afwijking is verdacht.
Controleer via SFTP of de bestandsbeheerder de volgende bestanden op ingespoten code: wp-config.php, .htaccess, functions.php, header.php en alle bestanden in wp-content/uploads/. PHP-bestanden horen niet in de uploadmap thuis. Zoek ook op de obfuscatiepatronen die malware typisch gebruikt:
eval(
base64_decode(
gzinflate(
str_rot13(
Elk van deze patronen op zichzelf is geen bewijs, maar in combinatie of op een onlogische plek in een bestand bijna altijd verdacht.
Controleer in phpMyAdmin of via WP-CLI
KeurigOnline zegtWP-CLIwp_options: zijn de velden siteurl en home nog de juiste URL of zijn ze omgebogen naar een externe site? Doorzoek wp_posts op ingespoten JavaScript
KeurigOnline zegtJavaScript<iframe>-code. Verwijder alle beheerdersaccounts die je niet herkent.
wp-content/uploads/.htaccess gecontroleerd op onbekende herschrijfregels naar externe URL'seval( en base64_decode(siteurl/home en ingespoten scripts
De bestanden zijn schoon. Nu zorg je ervoor dat hetzelfde niet opnieuw kan gebeuren. Doorloop deze checklist volledig voordat je de site weer online zet.
wp-config.php. Dit logt alle actieve sessies uit en maakt eventuele sessie-cookies van de aanvaller ongeldig. Genereer nieuwe sleutels via de WordPress Salt API.Tip: Schakel in WordPress "Automatische updates voor plugins" in via het dashboard onder "Plugins". Je ontvangt een e-mailnotificatie bij elke update zodat je het overzicht behoudt, maar kritieke beveiligingsupdates worden niet gemist als je even druk bent.
De meeste zelfhulpgidsen stoppen bij plugins en handmatige bestandscontroles. Maar je hostingprovider beschikt over mogelijkheden die geen plugin kan evenaren. Dagelijks worden er wereldwijd 560.000 nieuwe malwarebedreigingen geïdentificeerd, waarvan 90% polymorf is en bekende signaturen omzeilt.[3] Server-level beveiliging is de laag die dat opvangt.
Imunify360, dat standaard inbegrepen is bij KeurigOnline en bij veel DirectAdmin
KeurigOnline zegtDirectAdmin
Hosters bewaren Apache
KeurigOnline zegtApache
KeurigOnline zegtNginx
De meeste hostingproviders bewaren dagelijkse of wekelijkse snapshots van je volledige account. Als er een schone backup beschikbaar is van vóór de infectie, is terugzetten de snelste en zekerste herstelroute. Vraag bij de helpdesk op welke herstelpunten beschikbaar zijn en op welke datum de besmetting is binnengekomen (uit de logs) zodat je het juiste punt kiest.
Als malware actief wordt verspreid vanuit jouw account, kan de hoster het account tijdelijk opschorten om andere klanten op de gedeelde server te beschermen. In Nederland was 58% van de onderzochte bedrijven het afgelopen jaar doelwit van phishing of malware-aanvallen.[5] Proactief de hoster inlichten bij een vermoeden van infectie en direct een scan aanvragen, voorkomt dat je onverwacht offline gaat.
Managed hosting als structurele oplossing
Als Google Safe Browsing je site heeft gemarkeerd, zien bezoekers een rood waarschuwingsscherm in Chrome, Firefox en Safari. Dit kost direct organisch verkeer en beschadigt je reputatie. Na het opschonen verwijder je de markering via een herbeoordeling. Dien die pas in als de opschoning volledig is afgesloten.
Ga naar Google Search Console en klik op "Beveiliging en handmatige acties", daarna op "Beveiligingsproblemen". Hier zie je welke problemen Google heeft gedetecteerd en op welke URL's. Het tabblad "Handmatige acties" laat zien of een Google-medewerker je site manueel heeft bestraft voor spam of misleidende content.
Doorloop de checklists van Fase 1 tot en met Fase 3 volledig voordat je verder gaat. Een afgewezen herbeoordeling vertraagt het proces: Google wordt voorzichtiger met toekomstige verzoeken voor dezelfde site. Doe de herbeoordeling dus pas als je zeker bent dat je site schoon is.
Klik in Google Search Console op "Herbeoordeling aanvragen". Beschrijf in het verzoek welke stappen je hebt ondernomen: welke bestanden zijn verwijderd, welke plugins zijn bijgewerkt en welke accounts zijn gereset. Hoe concreter, hoe sneller de review.
Malware-herbeoordelingen duren doorgaans 2 tot 7 dagen. Spam-gerelateerde herbeoordelingen (bijvoorbeeld SEO-spam die in je database
KeurigOnline zegtDatabase
Deze sectie is ook relevant als je nooit gehackt bent. In 2025 werden 11.334 nieuwe kwetsbaarheden gevonden in het WordPress
KeurigOnline zegtWordPress
Tip: Managed hosting bij KeurigOnline neemt automatische updates, dagelijkse backups en server-level beveiliging met Imunify360 uit handen. Dat is de meest structurele manier om de kans op infectie te minimaliseren zonder zelf elke week een beveiligingschecklist te doorlopen.
De meest betrouwbare methode combineert drie stappen: een gratis remote scan via Sucuri SiteCheck (sitecheck.sucuri.net), een controle van Google Search Console onder "Beveiligingsproblemen" en een server-level scan via je hostingprovider. Visuele signalen zijn onverwachte redirects naar externe sites, rode browserwaarschuwingen en een plotselinge daling in organisch verkeer of Google-rankings.
Bij WordPress kun je met de gratis versies van Wordfence of Sucuri zelf een goede poging doen. Handmatig opschonen via SFTP is haalbaar als je technische kennis hebt. Zijn er meerdere backdoors of is de infectie complex, dan is een specialist verstandig. De kosten liggen doorgaans tussen 200 en 500 euro, afhankelijk van de ernst van de infectie.
Na het indienen van een herbeoordeling via Google Search Console duurt een malware-review doorgaans 2 tot 7 dagen. Spam-gerelateerde reviews kunnen enkele weken in beslag nemen. De herbeoordeling slaagt alleen als de malware volledig is verwijderd vóór het indienen. Een afgewezen verzoek vertraagt het proces.
Verouderde plugins en thema's zijn de grootste boosdoener. In 2025 werden 11.334 nieuwe kwetsbaarheden gevonden in het WordPress-ecosysteem[2] en exploitatie volgt gemiddeld 5 uur na bekendmaking. Op de tweede plaats staan zwakke of hergebruikte wachtwoorden en het ontbreken van tweestapsverificatie op beheeraccounts.
De vier pijlers zijn: alles altijd bijgewerkt houden (CMS
KeurigOnline zegtCMS
KeurigOnline zegtPHP
KeurigOnline zegtFirewall
Een hoster kan je account tijdelijk opschorten als er actief malware wordt verspreid, ter bescherming van andere klanten op de server. Door proactief een server-level scan aan te vragen (via Imunify360
KeurigOnline zegtImunify360
KeurigOnline zegtBackup