Een verouderde WordPress-site draaien: de veiligheidsrisico's die u neemt

Meer dan 40% van de WordPress-sites draait minstens één verouderde plugin met een bekende kwetsbaarheid. Dit is geen ruwe schatting - het is een regelmatig gecontroleerd cijfer van WordPress-beveiligingsonderzoekers. Als u uw plugins of themes de afgelopen weken niet heeft bijgewerkt, is er een reële kans dat uw site in die categorie valt.

Het risico is niet abstract. Wanneer een kwetsbaarheid wordt gepatcht, onthult de patch zelf wat de fout was. Onderzoekers publiceren technische details. Geautomatiseerde scanners beginnen binnen enkele uren kwetsbare sites te sondeer. Vanaf dag drie is actieve exploitatie doorgaans op grote schaal aan de gang.

Hoe snel kwetsbaarheden worden uitgebuit

De tijdlijn van openbare bekendmaking tot massale exploitatie is aanzienlijk ingekort. In 2023 was het gemiddelde ongeveer 15 dagen. In 2025 worden grote kwetsbaarheden in populaire plugins doorgaans actief uitgebuit binnen 24–72 uur na publicatie van de patch.

Uw site hoeft niet specifiek te worden aangevallen. Aanvallers gebruiken geautomatiseerde scanners die miljoenen sites tegelijk sonderen, op zoek naar versiehandtekeningen die kwetsbare installaties aangeven. Als uw site overeenkomt, wordt deze in de wachtrij gezet voor exploitatie.

Echte kwetsbaarheden uit 2024–2025

Dit zijn geen hypothetische scenario's. Dit zijn specifieke kwetsbaarheden in plugins die op miljoenen WordPress-sites zijn geïnstalleerd - allemaal publiekelijk gedocumenteerd.

LiteSpeed Cache - 5 miljoen sites in gevaar

In augustus 2024 maakten onderzoekers CVE-2024-28000 bekend, een kritieke kwetsbaarheid in de LiteSpeed Cache plugin. De fout stelde een niet-geauthenticeerde aanvaller in staat privileges te escaleren en beheerdersaccounts aan te maken op elke getroffen site. LiteSpeed Cache is geïnstalleerd op meer dan 5 miljoen WordPress-sites. Sites die niet binnen dagen hadden bijgewerkt, bleken binnen een week ongeautoriseerde beheerdersaccounts te hebben die door geautomatiseerde bots waren aangemaakt.

Really Simple Security - 4 miljoen sites in gevaar

In november 2024 werd CVE-2024-10924 bekendgemaakt in Really Simple Security (voorheen Really Simple SSL), een plugin die op 4 miljoen sites is geïnstalleerd. De kwetsbaarheid maakte volledige authenticatieomzeiling mogelijk - een aanvaller kon inloggen als elke gebruiker, inclusief beheerders, zonder het wachtwoord te kennen. WordPress.org beoordeelde dit als kritiek met een ernst van 9,8/10. Massale exploitatiepogingen werden geregistreerd binnen 24 uur na openbare bekendmaking.

WP Automatic - SQL injection op grote schaal

Begin 2024 werd CVE-2024-27956 gevonden in WP Automatic, een plugin die door meer dan 30.000 sites wordt gebruikt voor geautomatiseerde contentpublicatie. De SQL injection-kwetsbaarheid stelde aanvallers in staat database-inhoud te extraheren en beheerdersaccounts aan te maken. Binnen weken na de bekendmaking waren duizenden sites gecompromitteerd en waren backdoors geïnstalleerd.

Wat 'verouderd' werkelijk betekent

Als mensen denken aan WordPress-updates, denken ze meestal aan de coreversie. Maar het werkelijke aanvalsoppervlak is veel groter.

Een aanzienlijk deel van de WordPress-sites draait nog steeds op PHP 7.x - een versie die sinds 2022 end-of-life is en geen beveiligingsupdates meer ontvangt. Kwetsbaarheden in PHP zelf blijven ongepatchd, waardoor een beveiligingsgat ontstaat onder alles andere.

De updateparadox

De logische reactie hierop is: alles onmiddellijk bijwerken. Het probleem is dat WordPress-updates regelmatig dingen breken.

Pluginconflicten na grote WordPress-versieupdates zijn gebruikelijk. Een theme dat prima werkte op WP 6.3 kan weergaveproblemen hebben op WP 6.5. Een update van een betaalplugin kan het afrekenproces breken. De meeste ondernemers hebben minstens één scenario meegemaakt waarbij de site na een update kapot was. Het gevolg: updates worden uitgesteld 'totdat we het kunnen testen' - en weken worden maanden.

Automatische updates inschakelen verkleint het kwetsbaarheidsvenster maar introduceert onvoorspelbaar risico op storingen. Veel bedrijven schakelen automatische updates uit na één slechte ervaring. Er is geen schone oplossing binnen het WordPress-model.

Wat aanvallers doen met toegang

Zodra een site is gecompromitteerd, vernietigen aanvallers deze doorgaans niet onmiddellijk - dat zou het inbraak onthullen. Ze geven de voorkeur aan stille, aanhoudende toegang.

• SEO-spaminjectie: Duizenden verborgen links naar farmaceutische, gok- of volwassensites worden aan uw pagina's toegevoegd. Uw Google-rankings dalen. Uiteindelijk plaatst Google uw domein op de zwarte lijst.
• Redirect-hacks: Bezoekers (maar niet u) worden stilzwijgend omgeleid naar kwaadaardige sites. Uw organisch verkeer verdwijnt op mysterieuze wijze. U ziet het niet omdat de omleiding specifieke verkeerspatronen aanpakt.
• Diefstal van klantgegevens: Formulierinzendingen, contactgegevens en alle opgeslagen gebruikersdata worden geëxfiltreerd.
• Phishingpagina's: Nep-inlogpagina's worden op uw domein gehost en gebruikt om inloggegevens van bezoekers te oogsten.
• Installatie van backdoor: Een aanhoudende backdoor wordt achtergelaten zodat aanvallers toegang behouden, zelfs nadat de oorspronkelijke kwetsbaarheid is gepatcht.

Uw GDPR-aansprakelijkheid

Als uw site identificeerbare gegevens verzamelt - contactformulierinzendingen, nieuwsbriefinschrijvingen, klantaccounts - en die gegevens worden blootgesteld door een bekende, ongepatchte kwetsbaarheid, heeft u een GDPR-probleem.

Artikel 32 van de GDPR vereist dat organisaties 'passende technische maatregelen' implementeren om gegevensbeveiliging te waarborgen. Software draaien met publiekelijk gedocumenteerde kritieke kwetsbaarheden zonder deze te patchen, is alleen verdedigbaar als u kunt aantonen dat u geen redelijke gelegenheid had om bij te werken. 'We waren bezorgd dat updates de site zouden breken' is geen adequate verdediging.

GDPR-boetes kunnen oplopen tot €20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor een klein bedrijf kan zelfs een middelhoge boete existentieel zijn.

Waarom patchen geen langetermijnstrategie is

In 2024 maakten beveiligingsonderzoekers ongeveer 8.000 nieuwe WordPress-pluginkwetsbaarheden bekend - meer dan 20 per dag. Dit aantal groeit elk jaar.

Bijblijven vereist: beveiligingsadviezen monitoren voor elke plugin die u gebruikt, updates testen in een stagingomgeving voordat u ze op productie toepast, patches snel toepassen (binnen 24–72 uur voor kritieke problemen), sitefouten afhandelen wanneer updates conflicteren, en noodremediatie beheren wanneer iets toch doorglipt.

Dit is geen eenmalige taak. Het is een voortdurende onderhoudsbelasting. Voor een bedrijf dat simpelweg een werkende website wil, zijn deze overheadkosten een significante verborgen kostenpost van het WordPress-model.

Het alternatief: het aanvalsoppervlak elimineren

Een site gebouwd met een modern JavaScript-framework zoals Next.js heeft een fundamenteel ander beveiligingsprofiel - niet omdat het immuun is voor alle aanvallen, maar omdat de hele categorie kwetsbaarheden die 90% van de WordPress-compromitteringen beïnvloedt, niet in dezelfde vorm bestaat.

• Geen database blootgesteld aan het internet - geen aanvalsoppervlak voor SQL injection
• Geen server-side PHP-uitvoering - geen kwetsbaarheden voor PHP-code-uitvoering
• Geen plugin-ecosysteem om te patchen - afhankelijkheden worden expliciet beheerd, niet afkomstig uit een marketplace met 60.000 opties
• Geen wp-admin-inlogpagina - een bekende, universeel aangevallen URL die niet bestaat
• Beveiliging op infrastructuurniveau - DDoS-bescherming, SSL en edge-beveiliging beheerd door platforms zoals Vercel

Overstappen naar een statische of server-gerenderde JavaScript-site betekent niet nul beveiligingsoverwegingen. Maar het betekent wel dat uw onderhoudsteam niet dagelijks racet tegen nieuwe kwetsbaarheidsbekendmakingen in een plugin-ecosysteem.

Controleer uw huidige blootstelling

Als u WordPress gebruikt, is de eerste stap het kennen van uw werkelijke situatie. Onze gratis audit controleert uw zichtbare WordPress-indicatoren, serverresponsheaders en prestatiestatistieken in 60 seconden.

Voer de audit uit op webvise.io/wp-health-report. Als de resultaten verouderde software of beveiligingsproblemen laten zien, kunnen we de realistische opties bespreken - of dat nu een gedisciplineerd update- en monitoringproces is, of een migratie naar een architectuur zonder de updatetredmolen.