In 2026 zagen we iets gebeuren waar elke beginnende WordPress-bouwer kippenvel van krijgt: een reeks kritieke plugin lekken waarmee een aanvaller zonder wachtwoord en zonder enige vorm van inloggen in één keer beheerder van je website kon worden. Geen brute force, geen geraden wachtwoord, maar simpelweg een slim verzoek naar een slecht beveiligde plugin. In deze WordPress-kennisbank leg ik uit wat er precies misging, waarom juist beginners hierdoor worden geraakt en hoe je voorkomt dat jouw site wordt overgenomen.
Wat ging er mis in 2026?
De grootste verandering is dat aanvallers geen wachtwoord meer hoeven te raden. Verschillende populaire plugins bleken kwetsbaarheden te bevatten waarmee een willekeurige bezoeker direct administrator kon worden of zelfs code op je server kon uitvoeren. Een paar opvallende voorbeelden op een rij:
- Modular DS (CVE-2026-23550): via een onveilige API-route kon iemand automatisch als admin inloggen en daarna een nieuwe beheerder aanmaken. Dit lek kreeg de maximale ernstscore en werd actief misbruikt op naar schatting 40.000 sites.
- Kirki (CVE-2026-8206): het zelfgebouwde wachtwoord herstelmechanisme vertrouwde op een door de aanvaller opgegeven e-mailadres, waardoor het wachtwoord van een admin kon worden gereset zonder in te loggen.
- Kali Forms (CVE-2026-3584) en Quick Playground (CVE-2026-1830): hier kon een aanvaller via een onveilige formulier afhandeling of REST-route willekeurige code op de server uitvoeren.
- GEO my WP (CVE-2026-9757): een SQL-injectie via geolocatie parameters waarmee gebruikersgegevens en wachtwoord hashes konden worden uitgelezen.
- UpdraftPlus: een omzeiling van de inlog controle waardoor een aanvaller zonder geldig token als beheerder werd gezien.
De gemene deler? Voor vrijwel al deze lekken was de oplossing al beschikbaar. Een gepatchte versie stond klaar, vaak nog voordat de aanvallen op gang kwamen. Dat duizenden sites alsnog werden overgenomen, kwam simpelweg doordat eigenaren niet op tijd bijwerkten.
Waarom juist beginners de klos zijn
Misschien denk je: mijn site is veel te klein om interessant te zijn. Helaas werkt het niet zo. Aanvallers gebruiken geautomatiseerde scripts die het hele internet afspeuren naar kwetsbare plugins. Ze kijken niet naar wie je bent, maar alleen of er een open deur is.
Juist beginnende ondernemers op gedeelde hosting hebben vaak zo’n open deur. Dat komt door een paar herkenbare patronen:
- Updates worden uitgesteld uit angst dat de site stukgaat, vaak omdat er geen testomgeving is.
- Er staan te veel plugins geïnstalleerd, soms nog ingeschakeld, soms vergeten maar niet verwijderd.
- Tweestapsverificatie ontbreekt en wachtwoorden zijn zwak of hergebruikt.
- Er is geen back-up waarop je in geval van nood kunt terugvallen.
Let ook op de belofte van je hostingprovider dat zij de beveiliging regelen. Meestal betekent dit alleen dat de onderliggende server wordt bijgewerkt. Je WordPress-installatie, je thema en je plugins blijven jouw verantwoordelijkheid. Daar kun je niet omheen.
Een admin-overname is bijna nooit pech
Dit is misschien wel het belangrijkste inzicht uit alle incidentanalyses: een overgenomen site is zelden domme pech, maar bijna altijd het voorspelbare gevolg van een aantal keuzes. Te lang wachten met updaten, te veel plugins van twijfelachtige kwaliteit en het ontbreken van basismaatregelen. Het goede nieuws? Juist daarom kun je het risico flink verkleinen met eenvoudige, herhaalbare stappen.
Stap 1: breng je plugins in kaart
Ga naar je plugin overzicht en noteer alle namen en versienummers. Verwijder alles wat je niet gebruikt, want ook een uitgeschakelde plugin blijft een risico zolang de bestanden op de server staan. Controleer vervolgens of een van de hierboven genoemde plugins ertussen staat en of je minimaal de gepatchte versie gebruikt. Zo niet, dan heeft bijwerken of verwijderen absolute prioriteit.
Stap 2: maak een vaste update-routine
Plan één vast moment per week of per twee weken om in te loggen, updates uit te voeren en kort te controleren of je belangrijkste pagina’s en formulieren nog werken. Voor kleine, eenvoudige plugins kun je automatische updates inschakelen. Voor grote pagebuilders of webshops is het verstandiger om handmatig te updaten, het liefst eerst getest in een staging omgeving. Beveiligingsupdates stel je nooit uit tot het volgende moment.
Stap 3: beveilig je accounts
Gebruik sterke, unieke wachtwoorden met een wachtwoordmanager en zet tweestapsverificatie aan voor elk beheerdersaccount. Beperk het aantal administrators tot het minimum en geef andere gebruikers alleen de rechten die ze echt nodig hebben. Schakel daarnaast de ingebouwde bestand editor uit met DISALLOW_FILE_EDIT in je wp-config.php, zodat een aanvaller niet zomaar code via het beheerdersgedeelte kan aanpassen.
Stap 4: zorg voor een veiligheidsnet
Een beveiligingsplugin met firewall en malware scanner, zoals Wordfence, is een waardevolle extra laag. Zie het als aanvulling, niet als wondermiddel. Een firewall werkt op basis van bekende aanvalspatronen en kan een nieuw lek of een logische fout in een plugin missen. Ook een beveiligingsplugin kan zelf kwetsbaar zijn. Combineer daarom altijd meerdere maatregelen: tijdige updates, sterke wachtwoorden, tweestapsverificatie, zo min mogelijk plugins en betrouwbare hosting.
Stap 5: heb een noodplan klaar
Geen enkele maatregel biedt honderd procent zekerheid. Bedenk daarom vooraf wat je doet bij een hack: hoe haal je je site offline, hoe zet je een schone back-up terug en hoe wijzig je snel alle wachtwoorden en beveiligingssleutels? Controleer na een overname extra op nieuw aangemaakte admin accounts en onbekende PHP-bestanden, want aanvallers laten vaak een achterdeur achter. Alleen je wachtwoord wijzigen is dan niet genoeg.
Tot slot
Behandel je WordPress-site niet als een eenmalig project, maar als een levend systeem dat regelmatig aandacht nodig heeft. Wie bewust kiest welke plugins hij installeert, updates serieus neemt en een paar fundamentele maatregelen doorvoert, sluit de meeste open deuren waar geautomatiseerde aanvallen op mikken. De vraag is niet óf iemand je site probeert aan te vallen, maar of diegene op dat moment een open deur vindt of een goed onderhouden slot.