Website gehackt? Wat nu? Stappenplan voor België

Haal even diep adem. Ontdekken dat uw website gehackt is, is schrikken, maar u kunt dit oplossen. Duizenden Belgische kleine ondernemers maken het elk jaar mee, en de meesten zijn binnen enkele dagen weer online. Wat nu telt, is snel en methodisch handelen. In België tikken twee klokken tegelijk: de meldplicht voor datalekken bij de GBA binnen 72 uur uit de AVG, en de praktische meldkanalen (CERT.be, politie) die u nodig heeft voor uw verzekering en de opvolging.

Deze gids loodst u er stap voor stap doorheen.

Signalen dat uw website gehackt is

Soms is het overduidelijk. Soms is het subtiel. Dit zijn de meest voorkomende alarmsignalen.

Uw site stuurt bezoekers ergens anders heen. Bezoekers klikken op uw URL en komen terecht op een goksite, een spampagina voor medicijnen of een phishingpagina. Dit is een van de duidelijkste signalen. Mogelijk merkt u het zelf niet, want sommige redirect-malware activeert alleen voor bezoekers die via Google komen, niet voor wie de URL rechtstreeks intypt.

Google toont een waarschuwing. In de zoekresultaten verschijnt "Deze site is mogelijk gehackt" of "Deze site kan schadelijk zijn voor uw computer" onder uw vermelding. Browsers kunnen de toegang volledig blokkeren met een groot rood scherm.

Er zijn onbekende bestanden of code opgedoken. U ziet PHP-bestanden die u niet heeft geüpload, JavaScript dat in uw themabestanden is geïnjecteerd of nieuwe pagina's die u nooit heeft aangemaakt. Controleer uw bestandsbeheer of FTP en zoek naar recent gewijzigde bestanden.

Uw beheerderswachtwoord werkt niet meer. Als u niet meer kunt inloggen in uw CMS en u het wachtwoord niet heeft gewijzigd, heeft iemand anders dat waarschijnlijk gedaan.

Klanten klagen. Ze ontvangen spam vanaf uw e-mailadres, zien pop-ups op uw site of hun antivirussoftware slaat alarm bij uw pagina's.

Uw hostingprovider stuurde een waarschuwing. Veel hosts scannen op malware en verwittigen u, of schorsen zelfs uw account, wanneer ze iets vinden.

Ongewone serveractiviteit. Uw bandbreedte piekt, uw site is plots traag of uw server verstuurt e-mails waarvoor u geen toestemming gaf.

Klinkt een van deze punten bekend? Begin dan bij stap één hieronder.

Stap 1: geen paniek, maar documenteer alles

Voordat u iets wijzigt, maakt u screenshots. Leg de redirect vast, de Google-waarschuwing, de onbekende bestanden, de vreemde code. Als dit een datalek blijkt te zijn, heeft u bewijs nodig van wat er gebeurd is en wanneer u het ontdekte.

Open een tekstbestand en begin een tijdlijn. Noteer:

• Wanneer u het probleem voor het eerst opmerkte
• Welke symptomen u zag
• Wie het meldde
• Hoe de site er op dit moment uitziet

Deze documentatie is belangrijk voor uw hostingprovider, voor de beoordelingsprocedure van Google en mogelijk voor de gegevensbeschermingsautoriteiten.

Stap 2: wijzig onmiddellijk alle wachtwoorden

Echt allemaal. Sla er geen enkel over.

• CMS-beheerdersaccount (WordPress, Joomla, Shopify, wat u ook gebruikt)
• Hostingcontrolepaneel (cPanel, Plesk of het dashboard van uw provider)
• FTP- en SFTP-accounts
• Databasewachtwoorden (MySQL, PostgreSQL)
• E-mailaccounts gekoppeld aan uw domein
• Alle API-sleutels of tokens die uw website gebruikt

Gebruik voor elk account een sterk, uniek wachtwoord. Minstens 16 tekens. Een wachtwoordmanager maakt dit beheersbaar.

Ondersteunt uw CMS tweefactorauthenticatie? Schakel die dan nu meteen in. WordPress-gebruikers kunnen ze toevoegen met een plugin zoals WP 2FA of Wordfence. Dit alleen al had veel aanvallen voorkomen.

Controleer ook op beheerdersaccounts die u niet herkent. Aanvallers maken vaak een nieuwe admin-gebruiker aan zodat ze weer binnen kunnen, zelfs nadat u uw wachtwoord heeft gewijzigd.

Stap 3: neem contact op met uw hostingprovider

Bel of open een supportticket. Vertel hen dat uw site gecompromitteerd is. Goede hostingproviders krijgen hier regelmatig mee te maken en kunnen helpen met:

• Achterhalen wanneer de inbraak plaatsvond via de serverlogs
• Scannen op malware aan hun kant
• Toegangslogs aanleveren die verdachte logins tonen
• Herstellen vanuit hun back-upsysteem

Sommige hosts bieden malwareverwijdering aan als onderdeel van hun support. Vraag ernaar. Zelfs als het een betaalde dienst is, kan het sneller zijn dan het zelf doen.

Stap 4: haal de site offline als die malware verspreidt

Dit is een afweging. Als uw gehackte site:

• Bezoekers doorstuurt naar phishingpagina's
• Malwaredownloads verspreidt
• Spam-e-mails verstuurt
• Valse loginpagina's toont die gemaakt zijn om inloggegevens te stelen

Haal hem dan offline. Plaats een eenvoudige onderhoudspagina. Uw bedrijf verliest wat verkeer, maar u beschermt uw bezoekers en uw reputatie.

Blijft de hack beperkt tot een bekladding of SEO-spam in verborgen pagina's, dan kunt u de site vaak online houden tijdens het opschonen. Maar neem dat risico niet als u twijfelt.

Uw hostingprovider kan u helpen een tijdelijke onderhoudspagina op te zetten.

Stap 5: controleer uw AVG-meldplicht voor datalekken

Deze stap wordt in de chaos makkelijk over het hoofd gezien, maar er hangen wettelijke deadlines aan.

Op grond van artikel 33 AVG heeft u, als er persoonsgegevens bij de inbreuk betrokken waren, 72 uur vanaf het moment dat u er kennis van nam om uw gegevensbeschermingsautoriteit te verwittigen. Geen 72 kantooruren. 72 echte uren.

Stel uzelf de vraag: bewaarde uw website persoonsgegevens waar de aanvaller bij kon?

• Inzendingen van contactformulieren met namen, e-mailadressen, telefoonnummers
• Klantaccounts met adressen of betaalgegevens
• Lijsten met nieuwsbriefabonnees
• Bestelgeschiedenis of reserveringsgegevens

Is het antwoord ja, of zelfs "misschien", dan kunt u het beter melden. De melding hoeft niet meteen volledig te zijn. U kunt eerste details doorgeven en aanvullen naarmate u meer weet.

Vind uw nationale gegevensbeschermingsautoriteit op edpb.europa.eu. In België is de toezichthouder de Gegevensbeschermingsautoriteit (GBA, in het Frans Autorité de protection des données of APD), die het officiële meldingsformulier voor gegevensinbreuken publiceert.

Zijn er persoonsgegevens blootgesteld en is er een hoog risico voor de betrokkenen, dan moet u hen ook rechtstreeks informeren (artikel 34 AVG). Onze gids over de AVG en websitebeveiliging legt de volledige vereisten uit.

Stap 6: meld de aanval bij de Belgische instanties

De GBA-melding dekt uw gegevensbeschermingsplicht, maar België heeft aparte kanalen voor het incident zelf, en die gebruiken helpt ook uzelf.

Meld het incident bij CERT.be. CERT.be is het nationale noodteam van België voor cyberincidenten, beheerd door het Centrum voor Cybersecurity België (CCB). Bedrijven kunnen er incidenten melden. Zij volgen actieve campagnes op en kunnen u vertellen of uw hack past in een bekende golf gericht op Belgische sites.

Doe aangifte bij de politie. Is er geld gestolen, zijn klanten via uw site opgelicht of heeft u een afpersingsbericht ontvangen? Doe dan aangifte bij uw lokale politie. Verzekeraars eisen vrijwel altijd een officieel proces-verbaal voordat ze uitkeren onder een cyberpolis, dus doe de aangifte vroeg, niet pas na de opschoning.

Stuur phishingmails door naar Safeonweb. Versturen aanvallers phishingmails uit naam van uw bedrijf, dan verzamelt de Safeonweb-dienst van het CCB die op suspicious@safeonweb.be zodat de kwaadaardige links sneller gemarkeerd en geblokkeerd worden.

Geen van deze kanalen vervangt de GBA-melding uit stap 5. Ze lopen parallel.

Stap 7: scan op malware en backdoors

Wachtwoorden wijzigen is niet genoeg. Aanvallers plaatsen backdoors zodat ze weer binnen kunnen, zelfs nadat u de zichtbare malware heeft opgeruimd.

Voor WordPress-sites:

• Installeer Wordfence of Sucuri Security en draai een volledige scan
• Controleer functions.php en header.php van uw thema op geïnjecteerde code
• Zoek in uw map wp-content/uploads naar PHP-bestanden (daar horen er geen te staan)
• Loop uw .htaccess-bestand na op redirect-regels die u niet heeft toegevoegd
• Controleer wp-config.php op gewijzigde databasegegevens of toegevoegde code

Voor elk CMS:

• Vergelijk uw bestanden met een verse installatie van dezelfde versie
• Zoek naar recent gewijzigde bestanden (vooral van de laatste 30 dagen)
• Zoek naar veelvoorkomende backdoor-patronen: eval(), base64_decode(), gzinflate(), str_rot13()
• Controleer uw database op geïnjecteerde content, vooral in berichtinhoud en widgetzones

Externe scantools:

• Sucuri SiteCheck (gratis onlinescan)
• Statuscontrole bij Google Safe Browsing
• De ingebouwde scanner van uw hostingprovider

Sla de jacht op backdoors niet over. Ruimt u de zichtbare malware op maar mist u een backdoor, dan bent u binnen enkele dagen opnieuw gehackt.

Stap 8: herstel vanuit een schone back-up

Heeft u een back-up van vóór de hack, dan is terugzetten vaak de snelste weg.

Maar wees voorzichtig. U moet weten wanneer de hack plaatsvond. Is de aanvaller drie weken geleden binnengedrongen en is uw oudste back-up twee weken oud, dan is die back-up al geïnfecteerd.

Vraag uw hostingprovider naar de bewaartermijn van back-ups. Sommige bewaren 30 dagen, andere maar 7.

Na het terugzetten:

• Wijzig opnieuw alle wachtwoorden (de back-up bevat de oude wachtwoorden)
• Werk alles onmiddellijk bij (de back-up bevat waarschijnlijk dezelfde kwetsbaarheid die de aanvaller gebruikte)
• Scan de herstelde site op malware, voor de zekerheid

Heeft u geen schone back-up, dan moet u de infectie handmatig opschonen of iemand inhuren om dat te doen. Dat is lastiger maar niet onmogelijk. De malwarescan uit stap 7 is uw startpunt.

Stap 9: werk alle software bij

Verouderde software is de manier waarop de meeste websites van kleine bedrijven gehackt worden. Na de opschoning:

• Werk uw CMS bij naar de nieuwste versie
• Werk elke plugin en extensie bij
• Werk uw thema bij
• Werk PHP bij naar een ondersteunde versie (8.2 of nieuwer)
• Verwijder plugins en thema's die u niet gebruikt (gedeactiveerde plugins blijven kwetsbaar)

WordPress-sites lopen vooral risico door kwetsbare plugins. Draait u een plugin die al meer dan een jaar geen update kreeg, vervang of verwijder die dan.

Stap 10: controleer Google Search Console

Heeft Google uw site gemarkeerd, dan moet u het daar ook oplossen.

Log in op Google Search Console. Ga naar de sectie Beveiliging en handmatige acties. U ziet daar:

• Welke beveiligingsproblemen Google heeft gedetecteerd
• Voorbeeld-URL's die de waarschuwing veroorzaakten
• Het type malware of hack dat is gedetecteerd

Deze informatie helpt u ook te begrijpen wat de aanvaller heeft gedaan. Zegt Google "contentinjectie", dan weet u dat uw pagina's zijn aangepast. Zegt het "URL-injectie", dan zijn er nieuwe pagina's aangemaakt.

Los elk vermeld probleem op voordat u een beoordeling aanvraagt.

Stap 11: vraag een beoordeling aan bij Google

Zodra u alles heeft opgeschoond en bevestigd heeft dat de malware weg is:

1. Ga naar Beveiligingsproblemen in Google Search Console
2. Klik op "Beoordeling aanvragen"
3. Beschrijf wat er gebeurd is en wat u deed om het op te lossen
4. Verstuur

Google beoordeelt doorgaans binnen enkele dagen, al kan het tot twee weken duren. In die periode kan de waarschuwing nog in de zoekresultaten verschijnen.

Wees eerlijk in uw aanvraag. Google wijst vage beschrijvingen af. Vertel concreet welk type malware u vond, hoe de aanvaller binnenkwam en wat u deed om herhaling te voorkomen.

Wat u NIET moet doen

Een paar veelgemaakte fouten die alles erger maken.

Zet niet alleen de homepage terug om het daarbij te laten. Als de aanvaller uw homepage wijzigde, heeft hij vrijwel zeker meer gedaan. De zichtbare schade is wat hij wilde dat u zag. De backdoors en verborgen malware zijn wat hij niet wilde dat u vond.

Negeer het niet in de hoop dat het overwaait. Hacks worden mettertijd erger, niet beter. De aanvaller gebruikt uw server voor meer spam, injecteert meer malware en uw Google-posities kelderen. Uw hostingprovider kan uw account schorsen.

Betaal geen losgeld. Sommige aanvallers laten berichten achter waarin ze betaling eisen. Er is geen garantie dat ze iets herstellen als u betaalt, en u markeert uzelf als iemand die bereid is te betalen.

Geef niet uw webdesigner de schuld om vervolgens niets te doen. Zelfs als die een slecht beveiligde site bouwde, bestaat het probleem nu en moet het nu opgelost worden. Regel de verantwoordelijkheid later.

Installeer niet dezelfde kwetsbare software opnieuw. Zet u een back-up terug zonder alles bij te werken, dan wordt u opnieuw gehackt via dezelfde kwetsbaarheid. Soms binnen enkele uren.

Hoe u herhaling voorkomt

Bent u weer schoon en online, neem dan deze maatregelen zodat u hier niet opnieuw belandt.

Houd alles up-to-date. Zet een maandelijkse herinnering om te controleren op updates voor CMS, plugins en thema. Of schakel automatische updates in voor kleine releases.

Gebruik overal sterke, unieke wachtwoorden. Neem een wachtwoordmanager. Stop met wachtwoorden hergebruiken tussen diensten.

Schakel tweefactorauthenticatie in op elk account dat het ondersteunt. Uw hosting, CMS-beheer, e-mail, domeinregistrar.

Installeer een beveiligingsplugin. Voor WordPress bieden Wordfence en Sucuri gratis versies met een firewall, loginbescherming en malwarescans.

Stel automatische back-ups in. Dagelijkse back-ups met minstens 30 dagen bewaartermijn. Bewaar ze ergens los van uw hostingaccount. Wordt uw host gecompromitteerd, dan zijn back-ups op dezelfde server waardeloos.

Beperk het aantal beheerdersaccounts. Geef alleen admin-toegang aan mensen die dat echt nodig hebben. Verwijder accounts van oud-medewerkers, freelancers of bureaus waarmee u niet meer samenwerkt.

Zorg dat uw site volledig via HTTPS draait. Een geldig certificaat en een correcte configuratie beschermen uw bezoekers en uw vindbaarheid. Onze gids over het oplossen van een "niet beveiligd"-melding legt uit hoe.

Monitor uw site. Regelmatige scans vangen problemen op voordat ze crisissen worden. U kunt nu meteen een gratis beveiligingsscan draaien om te zien waar uw website staat.

FAQ

Moet ik een hack melden bij de gegevensbeschermingsautoriteit?

Alleen als er persoonsgegevens betrokken waren. Bewaart uw website inzendingen van contactformulieren, klantaccounts of bestelgegevens, en kon de aanvaller bij die gegevens, dan ja. Artikel 33 AVG geeft u 72 uur vanaf het moment dat u er kennis van nam, en in België dient u de melding in via het online datalekformulier van de GBA. Bij twijfel: melden. Te weinig melden levert hogere boetes op dan te veel melden.

Hoelang duurt het herstel na een websitehack?

Dat hangt af van de ernst. Een eenvoudige malware-injectie met een schone back-up beschikbaar? Dan kunt u binnen enkele uren weer online zijn. Een diepe compromittering zonder back-up en met Google-waarschuwingen? Dat kan één tot twee weken duren. Alleen al de beoordelingsprocedure van Google neemt meerdere dagen in beslag.

Herstellen mijn Google-posities zich na een hack?

Meestal wel, maar het kost tijd. Zodra Google de beveiligingswaarschuwing verwijdert, zouden uw posities binnen enkele weken moeten terugkomen. Hoe langer de waarschuwing blijft staan, hoe langer het herstel duurt. Snel handelen loont.

Kan ik een gehackte website zelf opschonen of heb ik een professional nodig?

Bij een eenvoudige WordPress-malware-infectie kunnen de meeste technisch handige site-eigenaren het zelf af met een scan via een beveiligingsplugin en het terugzetten van een schone back-up. Bij complexere aanvallen met databasecompromittering, meerdere backdoors of maatwerkwebsites kunt u beter een professional overwegen. De kosten van een professionele opschoning liggen doorgaans tussen 200 en 500 euro.

Hoe komen hackers binnen bij websites van kleine bedrijven?

De meest voorkomende routes: verouderde plugins met bekende kwetsbaarheden, zwakke wachtwoorden, gestolen FTP-gegevens en gecompromitteerde hostingaccounts. WordPress-plugins zijn het toegangspunt nummer één. Houd ze up-to-date en verwijder alles wat u niet actief gebruikt. Onze gids over kwetsbare WordPress-plugins behandelt de grootste risicogevallen.

Kom nu in actie

Leest u dit omdat uw site gehackt is, begin dan bij stap één en werk de lijst af. Sla geen stappen over. Het opschoningsproces is even belangrijk als het herstel.

Leest u dit ter voorbereiding, goed zo. Draai een gratis beveiligingsscan om uw website te controleren op veelvoorkomende kwetsbaarheden voordat een aanvaller ze als eerste vindt.

Bronnen

• AVG artikel 33 - Melding van een inbreuk (eur-lex.europa.eu)
• Wet van 30 juli 2018 - Belgische gegevensbeschermingswet (ejustice.just.fgov.be)
• GBA - Procedure melding gegevensinbreuk (gegevensbeschermingsautoriteit.be)
• Centrum voor Cybersecurity België / CCB (ccb.belgium.be)
• Safeonweb (safeonweb.be)
• NIS 2-richtlijn (EU) 2022/2555 (eur-lex.europa.eu)
• Europees Comité voor gegevensbescherming (edpb.europa.eu)

---

Dit is een technische analyse, geen juridisch advies. Raadpleeg een advocaat voor specifiek juridisch advies.