Skip to content
· 6 min. leestijd

Een verouderde WordPress-site draaien: de beveiligingsrisico's die u werkelijk neemt

Zodra een WordPress-kwetsbaarheid openbaar wordt, verschijnt exploitcode doorgaans binnen 24 tot 72 uur. Wat verouderde plugins, thema's of de kern betekent voor uw bedrijf, met echte CVE's uit 2024-2025.

WordPressSecurityMaintenance
Delen

Meer dan 40% van de WordPress-sites draait minstens één verouderde plugin met een bekende kwetsbaarheid. Dat is geen ruwe schatting; het is een regelmatig gecontroleerd cijfer van WordPress-beveiligingsonderzoekers. Wie de afgelopen weken geen plugins of thema's heeft bijgewerkt, loopt een reële kans dat zijn site in die categorie valt.

Het risico is concreet. Zodra een kwetsbaarheid wordt gepatcht, onthult de patch zelf wat de fout was. Onderzoekers publiceren technische details. Geautomatiseerde scanners beginnen binnen enkele uren kwetsbare sites te sonderen. Vanaf dag drie is actieve exploitatie doorgaans al op grote schaal gaande.

Hoe snel kwetsbaarheden worden uitgebuit

De tijdlijn van openbare bekendmaking tot massale exploitatie is aanzienlijk ingekort. In 2023 bedroeg het gemiddelde nog ongeveer 15 dagen. In 2025 worden grote kwetsbaarheden in populaire plugins doorgaans binnen 24 tot 72 uur na publicatie van de patch actief uitgebuit.

FaseTypische tijdsduur
Kwetsbaarheid ontdekt door onderzoekerDag 0
Patch uitgebracht door pluginontwikkelaarDag 1-30 (als dat al gebeurt)
Technische details gepubliceerdZelfde dag als de patch
Proof-of-concept exploitcode gepubliceerd24-72 uur na de patch
Geautomatiseerd massascannen begint24-72 uur na de patch
Uw ongepatchte site actief in gevaarVanaf dag 3

Uw site hoeft niet specifiek te worden aangevallen. Aanvallers gebruiken geautomatiseerde scanners die miljoenen sites tegelijk doorzoeken op versiekenmerken die kwetsbare installaties verraden. Komt uw site overeen, dan wordt die in de wachtrij voor exploitatie geplaatst.

Echte kwetsbaarheden uit 2024-2025

Dit zijn geen hypothetische gevallen. Het zijn specifieke kwetsbaarheden in plugins die op miljoenen WordPress-sites zijn geïnstalleerd, alle openbaar gedocumenteerd.

LiteSpeed Cache: 5 miljoen sites in gevaar

In augustus 2024 maakten onderzoekers CVE-2024-28000 bekend, een kritieke kwetsbaarheid in de LiteSpeed Cache-plugin. De fout stelde een niet-geauthenticeerde aanvaller in staat rechten te escaleren en beheerdersaccounts aan te maken op elke getroffen site. LiteSpeed Cache is geïnstalleerd op meer dan 5 miljoen WordPress-sites. Sites die meer dan een paar dagen ongepatcht bleven, kregen routinematig frauduleuze beheerdersaccounts aangemaakt door geautomatiseerde bots binnen diezelfde week, een patroon gedocumenteerd in incidentrapporten van Wordfence en Patchstack.

Really Simple Security: 4 miljoen sites in gevaar

In november 2024 werd CVE-2024-10924 bekendgemaakt in Really Simple Security (voorheen Really Simple SSL), een plugin geïnstalleerd op 4 miljoen sites. De kwetsbaarheid maakte volledige authenticatie-bypass mogelijk: een aanvaller kon inloggen als elke gebruiker, inclusief beheerders, zonder het wachtwoord te kennen. WordPress.org beoordeelde dit als kritiek met een ernst van 9,8/10. Massale exploitatiepogingen werden al binnen 24 uur na de openbare bekendmaking geregistreerd.

WP Automatic: SQL-injectie op grote schaal

Begin 2024 werd CVE-2024-27956 gevonden in WP Automatic, een plugin die door meer dan 30.000 sites wordt gebruikt voor geautomatiseerde contentpublicatie. De SQL-injectiekwetsbaarheid stelde aanvallers in staat database-inhoud te extraheren en beheerdersaccounts aan te maken. Binnen weken na de bekendmaking waren duizenden sites gecompromitteerd en waren achterdeurtjes geïnstalleerd.

Wat 'verouderd' werkelijk betekent

Bij WordPress-updates denken de meeste mensen aan de kernversie. Maar het werkelijke aanvalsoppervlak is veel groter.

ComponentWaarom het ertoe doetRisico bij verouderde versie
WordPress-kernHet fundament, regelmatig gepatchtHoog: bekende exploits richten zich op oude versies
PluginsDe belangrijkste aanvalsvector: duizenden plugins van uiteenlopende kwaliteitKritiek: de meeste exploits richten zich op plugins
Thema'sBevatten vaak kwetsbaarheden, zeker premium thema's van marktplaatsenGemiddeld tot hoog
PHP-versieDe server-side taal waarop WordPress draaitHoog: PHP 7.4 (EOL 2022) ontvangt geen beveiligingspatches meer

Een aanzienlijk deel van de WordPress-sites draait nog steeds op PHP 7.x, een versie die sinds 2022 end-of-life is en geen beveiligingsupdates meer ontvangt. Kwetsbaarheden in PHP zelf blijven ongepatcht en creëren een beveiligingsgat onder alles wat daarboven draait.

De updateparadox

De logische reactie hierop is: alles onmiddellijk bijwerken. Het probleem is dat WordPress-updates regelmatig dingen breken.

Pluginconflicten na grote WordPress-versieupdates zijn gebruikelijk. Een thema dat prima werkte op WP 6.3 kan weergaveproblemen vertonen op WP 6.5. Een update van een betaalplugin kan het afrekenproces breken. De meeste eigenaren hebben minstens één scenario meegemaakt waarbij de site na een update kapot was. Het gevolg: updates worden uitgesteld 'totdat we kunnen testen', en weken worden maanden.

Automatische updates inschakelen verkleint het kwetsbaarheidsvenster, maar introduceert onvoorspelbaar breukrisico. Veel bedrijven schakelen auto-updates uit na één slechte ervaring. Binnen het WordPress-model bestaat er geen schone oplossing.

Wat aanvallers doen met toegang

Zodra een site gecompromitteerd is, vernietigen aanvallers die doorgaans niet direct; dat zou de inbreuk onthullen. Ze geven de voorkeur aan stille, persistente toegang.

  • SEO-spaminjectie: duizenden verborgen links naar farmaceutische, gok- of adultsites worden aan uw pagina's toegevoegd. Uw Google-posities dalen. Uiteindelijk plaatst Google uw domein op de zwarte lijst.
  • Redirect-hacks: bezoekers (maar niet u) worden stilzwijgend doorgestuurd naar kwaadaardige sites. Uw organisch verkeer verdwijnt zonder aanwijsbare oorzaak. U ziet het niet, omdat de redirect zich richt op specifieke verkeerspatronen.
  • Diefstal van klantgegevens: formulierverzendingen, contactgegevens en eventuele opgeslagen gebruikersdata worden geëxfiltreerd.
  • Phishingpagina's: nep-inlogpagina's worden gehost op uw domein en gebruikt om inloggegevens van bezoekers te stelen.
  • Installatie van een achterdeur: een persistente backdoor wordt achtergelaten zodat aanvallers toegang behouden, ook nadat de oorspronkelijke kwetsbaarheid is gepatcht.

Uw GDPR-aansprakelijkheid

Verzamelt uw site identificeerbare gegevens, zoals contactformulieren, nieuwsbriefinschrijvingen of klantaccounts, en worden die gegevens blootgesteld door een bekende, ongepatchte kwetsbaarheid? Dan heeft u een GDPR-probleem.

Artikel 32 van de GDPR verplicht organisaties 'passende technische maatregelen' te treffen om de beveiliging van gegevens te waarborgen. Software draaien met openbaar gedocumenteerde kritieke kwetsbaarheden zonder die te patchen, is alleen verdedigbaar als u kunt aantonen dat u redelijkerwijs geen gelegenheid had om te updaten. Updateaarzeling wordt door gegevensbeschermingsautoriteiten doorgaans niet aanvaard als verweer bij verwerkingsgerelateerde inbreuken.

GDPR-boetes kunnen oplopen tot €20 miljoen of 4% van de wereldwijde jaarlijkse omzet, afhankelijk van welk bedrag hoger is. Zelfs handhavingsacties in het middensegment zijn materieel voor het mkb.

Waarom patchen geen langetermijnstrategie is

In 2024 legden beveiligingsonderzoekers circa 8.000 nieuwe WordPress-pluginkwetsbaarheden bloot, meer dan 20 per dag. Dit aantal groeit elk jaar.

Bijblijven vereist: beveiligingsadviezen bijhouden voor elke plugin die u gebruikt, updates testen in een stagingomgeving voordat u ze in productie toepast, patches snel aanbrengen (binnen 24 tot 72 uur bij kritieke problemen), sitefouten afhandelen wanneer updates conflicteren, en noodremediëring uitvoeren wanneer er iets doorheen glipt.

Dit is een doorlopende onderhoudslast. Voor een bedrijf dat simpelweg een werkende website wil, is deze overhead een aanzienlijke verborgen kost van het WordPress-model.

Het alternatief: het aanvalsoppervlak elimineren

Een Next.js-site heeft een kleiner WordPress-specifiek aanvalsoppervlak, omdat kwetsbaarheidsklassen voor plugins en thema's in dezelfde vorm simpelweg niet bestaan.

  • Geen database blootgesteld aan internet: geen SQL-injectieaanvalsoppervlak
  • Geen server-side PHP-uitvoering: geen kwetsbaarheden door PHP-codeuitvoering
  • Geen pluginecosysteem om te patchen: afhankelijkheden worden expliciet beheerd, niet betrokken uit een marktplaats van 60.000 opties
  • Geen wp-admin-inlogpagina: een bekende, universeel aangevallen URL die simpelweg niet bestaat
  • Beveiliging op infrastructuurniveau: DDoS-bescherming, SSL en edge-beveiliging worden afgehandeld door platforms zoals Vercel

Overstappen naar een statische of server-gerenderde JavaScript-site betekent niet dat beveiliging geen aandachtspunt meer is. Maar het betekent wel dat uw team niet langer dagelijks kwetsbaarheden in een pluginecosysteem hoeft bij te houden.

Controleer uw huidige blootstelling

Wie WordPress draait, begint het beste met inzicht in de werkelijke situatie. De gratis audit controleert zichtbare WordPress-indicatoren, server-response-headers en prestatiecijfers in 60 seconden.

Voer de audit uit via webvise.io/wp-health-report. Tonen de resultaten verouderde software of beveiligingsproblemen, dan bespreekt webvise graag de realistische opties: een gedisciplineerd update- en monitoringproces, of een migratie naar een architectuur zonder de updatetredmolen.

De werkwijzen van webvise zijn afgestemd op de ISO 27001- en ISO 42001-normen.