WordPress plugins zijn je grootste beveiligingsrisico: 331 kwetsbaarheden in één week

In één week in maart 2026 werden 331 nieuwe WordPress-kwetsbaarheden ontdekt, vrijwel allemaal in plugins. Dit artikel ontleedt de cijfers, laat zien hoe plugin-aanvallen werken en wat je eraan kunt doen.

In de week van 25 maart 2026 publiceerde SolidWP zijn wekelijkse kwetsbaarhedenrapport. De teller: 331 nieuwe kwetsbaarheden. 275 in plugins, 56 in thema's, nul in WordPress zelf. En dit was niet eens de slechtste week van 2026. Op 4 februari werden er 661 ontdekt in zeven dagen tijd.

Dit zijn geen theoretische risico's. Het zijn concrete toegangspunten die aanvallers actief zoeken, soms binnen uren na publicatie.

TL;DR: WordPress core is opvallend veilig, met slechts 2 kwetsbaarheden in heel 2025. Het echte aanvalsoppervlak zit in plugins. In 2025 werden meer dan 11.000 pluginkwetsbaarheden ontdekt, bijna 58% te misbruiken zonder inloggegevens, en aanvallers beginnen binnen 5 uur te scannen na publicatie. De gemiddelde site-eigenaar patcht na 14 dagen. In dat gat worden sites gehackt.

Inhoudsopgave

De cijfers achter de koppen

De omvang van WordPress-pluginkwetsbaarheden is explosief gegroeid. Patchstack's jaarrapport 2026 laat de ontwikkeling zien:

Jaar Ontdekte kwetsbaarheden Groei t.o.v. vorig jaar
2023 5.943
2024 7.966 +34%
2025 11.334 +42%

Dat zijn gemiddeld 218 nieuwe kwetsbaarheden per week in 2025. De WPScan-database bevat inmiddels meer dan 71.000 vermeldingen verspreid over 15.236 plugins.

Waar komen die kwetsbaarheden vandaan? Niet uit WordPress zelf. Van de 11.334 in 2025 zat 91% in plugins, en slechts 2 in WordPress core. Het WordPress-kernteam doet goed werk op beveiligingsvlak. Het probleem zit in het ecosysteem eromheen.

En dat ecosysteem is enorm. De WordPress.org plugindirectory bevat ruim 60.000 gratis plugins, met tienduizenden meer op premium marktplaatsen. Een gemiddelde zakelijke site draait 20 tot 30 plugins. Elke plugin is een extra aanvalsoppervlak.

Waarom plugins de zwakke schakel zijn

Het plugin-ecosysteem heeft een structureel probleem dat verder gaat dan individuele bugs. Onderzoek naar de WordPress plugindirectory schetst een duidelijk beeld: meer dan 59% van de plugins is al twee jaar of langer niet bijgewerkt. Nog eens 27% is vijf jaar niet aangeraakt. Veel van deze plugins hebben nog steeds actieve installaties.

Een verlaten plugin mist niet alleen nieuwe functies; hij krijgt ook geen beveiligingspatches meer. Als er een kwetsbaarheid wordt ontdekt in een plugin waarvan de ontwikkelaar is gestopt, is er niemand die het repareert. Patchstack's data laat zien dat 45–46% van de WordPress-kwetsbaarheden in 2025 geen patch had op het moment van publicatie. In de slechtste week van januari 2026 was dat 71%.

Een aparte analyse van Bitdefender concludeert dat bijna 30% van de kritieke kwetsbaarheden in WordPress-plugins nooit wordt gepatcht. Niet uiteindelijk. Nooit.

De typen kwetsbaarheden vertellen ook hun eigen verhaal. Volgens Patchstack's statistieken over 2025 is Cross-Site Scripting (XSS) goed voor 40% van alle meldingen. Maar de kwetsbaarheden die daadwerkelijk op grote schaal worden misbruikt zien er anders uit: broken access control veroorzaakt 57% van de echte aanvallen, gevolgd door privilege escalation met 20%. Waarom zou je je druk maken om XSS als je ook gewoon de authenticatie kunt omzeilen?

Hoe plugin-aanvallen in de praktijk werken

Dit is het stuk dat de meeste artikelen overslaan: de tijdlijn van een echte aanval.

Wanneer een kwetsbaarheid publiek wordt (gepubliceerd in een beveiligingsdatabase of op een blog van een onderzoeker), wachten aanvallers niet af. Patchstack's data uit 2026 heeft het gemeten: de gewogen mediaan tot eerste grootschalige exploitatie is 5 uur. Geen dagen. Uren. Binnen 24 uur is 45% van de zwaar aangevallen kwetsbaarheden actief onder vuur. Binnen een week 70%.

De gemiddelde WordPress site-eigenaar past kritieke beveiligingspatches 14 dagen na beschikbaarheid toe. Dat laat een venster van minstens 10 dagen waarin de kwetsbaarheid bekend is, de exploit circuleert en de site onbeschermd is.

Hoe ziet dat er in de praktijk uit? Een paar voorbeelden uit 2025–2026:

LiteSpeed Cache (CVE-2024-28000), geïnstalleerd op meer dan 5 miljoen sites. Een zwakke hash kon worden gekraakt om gebruikers-ID's te spoofen, waardoor aanvallers zonder inloggegevens volledige admin-toegang kregen. Meer dan 30.000 aanvallen in de eerste 24 uur na publicatie.

King Addons for Elementor (CVE-2025-8489): ongeauthenticeerde aanmaak van admin-accounts via een aangepast registratieverzoek. Wordfence blokkeerde meer dan 48.400 pogingen nadat massale exploitatie begon in november 2025.

WPvivid Backup & Migration (CVE-2026-1357): een gechainde cryptografische fout plus path traversal gaf aanvallers remote code execution op meer dan 900.000 sites. CVSS-score: 9,8 van de 10.

Let op het patroon. Dit zijn geen obscure plugins. Het zijn populaire tools met miljoenen installaties. En de kritieke kwetsbaarheden zijn bijna altijd ongeauthenticeerd: 57,6% van alle WordPress-pluginkwetsbaarheden in H1 2025 vereiste geen enkele login om te misbruiken. Iedere internetgebruiker kan ze triggeren.

Wil je weten wat er gebeurt nadat een aanvaller binnen is? Ik heb een uitgebreide walkthrough geschreven van een WordPress-hack, van inbraak tot blacklist.

Supply chain-aanvallen: als de plugin zelf besmet is

Er is een verontrustender variant van pluginkwetsbaarheden: aanvallen waarbij het distributiekanaal van de plugin zelf is gecompromitteerd. Je installeert of updatet een plugin via het officiële kanaal, en de update bevat kwaadaardige code.

Dit is niet hypothetisch. Het is meerdere keren gebeurd:

In juni 2024 kregen aanvallers toegang tot ontwikkelaarsaccounts op WordPress.org met wachtwoorden uit eerdere datalekken. Ze injecteerden malware in vijf plugins (waaronder Social Warfare en Contact Form 7 Multi-Step Addon) die verborgen admin-accounts aanmaakten en SEO-spam injecteerden. De kwaadaardige versies werden gewoon via het officiële WordPress.org-updatemechanisme aangeboden.

In juli 2025 werd de officiële downloadserver van Gravity Forms gecompromitteerd, een van de populairste premium WordPress-plugins. Een kwaadaardig domein (gravityapi.org) werd geregistreerd en besmette versies werden verspreid met een backdoor voor data-exfiltratie en remote code execution.

De grootste gedocumenteerde supply chain-aanval trof AccessPress Themes in 2022. 93 producten (40 thema's en 53 plugins) werden op bedrijfsniveau voorzien van een backdoor. Een webshell werd geschreven in WordPress core's wp-includes/vars.php op 360.000 installaties.

Het gemene aan dit soort aanvallen is dat het vertrouwensmodel zelf breekt. Je doet precies het goede, je plugins updaten, en dat is precies hoe de malware binnenkomt.

Wat je eraan kunt doen

Praktische stappen die je risico daadwerkelijk verlagen:

Audit je pluginlijst. Verwijder plugins die je niet actief gebruikt. Elke plugin die je verwijdert is een aanvalsvector minder. Controleer wanneer elke overgebleven plugin voor het laatst is bijgewerkt, en als dat meer dan een jaar geleden is, zoek dan een actief onderhouden alternatief.

Update snel. Niet volgende week. Niet "als ik er tijd voor heb." Het 5-uur exploitatievenster betekent dat uitstel echte gevolgen heeft. Zet automatische updates aan voor plugins die je vertrouwt, of gebruik een staging-omgeving om updates snel te testen voor je ze live zet.

Controleer wat je installeert. Kijk voor je een nieuwe plugin toevoegt naar: datum van de laatste update, aantal actieve installaties, track record van de ontwikkelaar en het supportforum (onopgeloste beveiligingsmeldingen zijn een rode vlag). Een plugin met 50 installaties die 18 maanden niet is bijgewerkt, is een risico.

Gebruik tweefactorauthenticatie. Veel pluginkwetsbaarheden escaleren via admin-accounts. Zelfs als een aanvaller een privilege escalation-bug misbruikt, voegt 2FA op admin-accounts een extra drempel toe voor de meest impactvolle acties.

Monitor op bekende kwetsbaarheden. Tools zoals Patchstack en Wordfence onderhouden realtime databases van WordPress-pluginkwetsbaarheden en kunnen je waarschuwen als een plugin op jouw site is getroffen.

Wanneer patchen alleen niet genoeg is

Hier komt de ongemakkelijke waarheid: ook als je zorgvuldig patcht, kun je niet snel genoeg patchen voor elke kwetsbaarheid. Met 218 nieuwe per week en een exploitatievenster van 5 uur is er altijd een gat tussen publicatie en jouw update.

Hier bewijst gelaagde beveiliging zijn waarde. Een Web Application Firewall kan bekende aanvalspatronen op netwerkniveau blokkeren voordat ze je WordPress-installatie bereiken. Maar standaard WAF's hebben een beperking: Patchstack's data laat zien dat traditionele WAF's slechts 12–26% van WordPress-specifieke aanvallen blokkeren, omdat ze applicatiecontext missen.

Dat is waar virtual patching om de hoek komt kijken: gerichte firewallregels die de specifieke parameters van de kwetsbaarheid begrijpen (welke plugin, welk endpoint, welk requestpatroon) en precies dat exploit blokkeren. Patchstack's RapidMitigate kan virtual patches tot 48 uur voor publieke onthulling uitrollen via hun bug bounty-programma. Het venster wordt gesloten voordat aanvallers het überhaupt kennen.

Het verschil tussen managed en unmanaged hosting wordt het duidelijkst in deze tussenruimte. Een site op shared hosting met handmatige updates heeft dat gemiddelde blootstellingsvenster van 14 dagen. Een managed omgeving met automatische updates, kwetsbaarhedenmonitoring en virtual patching krimpt dat tot uren, of elimineert het volledig voor bekende dreigingen.

Dat gezegd hebbend: geen enkele laag lost alles op. Virtual patching beschermt tegen bekende kwetsbaarheden. Het vangt geen zero-day in een plugin die niemand heeft geaudit, en het helpt niet als de infrastructuur van de pluginontwikkelaar zelf is gecompromitteerd. Beveiliging is lagen, niet één product.

WordPress.org versterkt ook zijn eigen verdediging. In oktober 2025 werd de Plugin Check-tool bijgewerkt om automatisch elke plugin-update te scannen (niet alleen nieuwe inzendingen) op beveiligingsproblemen. Het is een zinvolle stap richting het vangen van kwetsbaarheden voordat ze de directory bereiken.

De belangrijkste punten op een rij

  • WordPress core is veilig. Plugins zijn waar 91% van de kwetsbaarheden zit.
  • In 2025 werden meer dan 11.000 pluginkwetsbaarheden ontdekt, 42% meer dan in 2024.
  • Aanvallers beginnen binnen 5 uur na publicatie met scannen. De gemiddelde site-eigenaar patcht na 14 dagen.
  • 57,6% van de pluginkwetsbaarheden vereist geen authenticatie om te misbruiken.
  • Audit je pluginlijst, verwijder wat je niet gebruikt en update wat je houdt. Snel.
  • Gelaagde beveiliging (WAF + virtual patching + monitoring) dicht het gat dat patchen alleen niet kan dichten.

Minder security-verrassingen?

Veilig blijven is routinewerk: patching, monitoring, backups en defense-in-depth—consequent uitgevoerd.

Bekijk WordPress onderhoud

Gerelateerde artikelen

  1. Cloudflare lanceerde EmDash, en de plugin-sandbox is het échte verhaal

    Cloudflare kondigde EmDash aan op 1 april 2026. Het is nog geen WordPress-vervanger, maar de capability-based plugin-sandbox is het interessantste antwoord op plugin-security dat ik in jaren heb gezien.

    1989 woorden
  2. Wat kost WordPress onderhoud uitbesteden in 2026?

    Zoek je op 'WordPress onderhoud' dan vind je pakketten van €12 tot ruim boven de €200 per maand. Dat is een gigantisch gat voor iets waar iedereen dezelfde term voor gebruikt. Dit artikel legt uit waar het verschil vandaan komt, en waar je precies voor betaalt als je meer betaalt.

    1760 woorden
  3. WordPress onderhoud: uitbesteden of zelf doen?

    De meeste mensen denken dat WordPress onderhoud betekent dat je af en toe op de update-knop drukt. Dat is misschien tien procent van het werk. De andere negentig procent is waar sites stilletjes stukgaan, en dat is het deel dat je nooit in een verkooppraatje te horen krijgt.

    1696 woorden

Begin met typen om te zoeken, of blader door de kennisbank en blog.