Kwetsbare WordPress plugins: de waarschuwingen van het CCB

De meeste Belgische ondernemers denken dat het opvolgen van kwetsbaarheden in WordPress plugins betekent dat ze obscure beveiligingsmailinglijsten moeten volgen. Dat klopt niet. België heeft een nationale vroegtijdige-waarschuwingsdienst die dat speurwerk voor u doet. Het Centrum voor Cybersecurity België (CCB), de federale autoriteit achter CERT.be, publiceert gratis publieke adviezen telkens wanneer een veelgebruikte WordPress plugin een kritiek lek blijkt te bevatten.

Dat verandert hoe een KMO de beveiliging van plugins moet aanpakken. U hoeft geen wereldwijde CVE-feeds in de gaten te houden. U hebt drie gewoontes nodig: de CCB-waarschuwingen volgen, een strakke updateroutine aanhouden, en exact weten wat te doen op de dag dat een waarschuwing een plugin noemt die u gebruikt. Deze gids behandelt alle drie.

België heeft een vroegtijdig waarschuwingssysteem voor WordPress plugins

Het CCB onderhoudt een publieke adviezenfeed met RSS-optie, geschreven in het Engels en gericht op Belgische organisaties van elke omvang. Is een kwetsbaarheid ernstig genoeg, dan noemt het advies de plugin, vermeldt het de CVE-identificatie en de ernstscore, geeft het aan welke versies getroffen zijn en zegt het in klare taal wat u moet doen. De gebruikelijke instructie is kort: patch onmiddellijk.

Dat is om één praktische reden belangrijk. Tegen de tijd dat het CCB een waarschuwing uitstuurt, is geautomatiseerde uitbuiting meestal al bezig of nakend. Een advies dat in uw mailbox belandt, is geen achtergrondlectuur. Het is een taak voor diezelfde dag.

Drie echte CCB-waarschuwingen tonen het patroon, en elk gaat over een plugin die op een gewone Belgische site zou kunnen draaien:

GiveWP, de plugin voor donaties en fondsenwerving. In augustus 2024 waarschuwde het CCB voor een kritiek lek in GiveWP (CVE-2024-5932, CVSS-score 10.0, het hoogst mogelijke). Een PHP object injection-bug liet niet-geauthenticeerde aanvallers eigen code uitvoeren op de server en willekeurige bestanden wissen. Wereldwijd stonden ongeveer 100.000 sites bloot. Aanvaardt uw vzw, sportclub of campagnepagina donaties via WordPress, dan was dit uw plugin. De oplossing: updaten naar versie 3.14.2 of later.

Better Search Replace, de databasemigratietool. In januari 2024 meldde het CCB een kritieke injectiekwetsbaarheid (CVE-2023-6933, CVSS 9.8) in alle versies tot en met 1.4.4. Dit is de plugin die webbureaus en doe-het-zelvers één keer installeren bij een domeinverhuizing of rebranding, en daarna vergeten. Vergeten plugins zijn precies waar aanvallers op rekenen. De oplossing: versie 1.4.5 of later, of beter nog, de plugin verwijderen zodra de migratie klaar is.

WCFM Membership, gebruikt door marktplaatsen en ledensites. Een CCB-advies uit 2023 waarschuwde voor een privilege-escalatielek (CVE-2022-4939, CVSS 9.8) in versies tot en met 2.10.0. Door de bug kon om het even wie zichzelf registreren als beheerder van uw site. Geen wachtwoord kraken nodig. Een webshop met een multi-vendoropstelling op deze plugin stond één HTTP-verzoek verwijderd van een volledige overname.

Abonneer u via RSS op de adviezenfeed, of bekijk hem tijdens uw wekelijkse updateronde. Het kost niets en het is geschreven voor exact uw situatie: een Belgische organisatie zonder beveiligingsteam.

Waarom de waarschuwingen bijna altijd over plugins gaan

De WordPress-kern wordt onderhouden door een groot, goed gefinancierd team en krijgt snelle beveiligingsfixes. Het plugin-ecosysteem is een andere wereld. Tienduizenden plugins zijn bijprojecten van individuele ontwikkelaars. Wanneer de ontwikkelaar iets anders gaat doen, blijft de code geïnstalleerd op honderdduizenden sites zonder dat iemand hem patcht.

De cijfers bevestigen dat. De WPScan-database catalogiseert meer dan 50.000 bekende WordPress-kwetsbaarheden, en het overweldigende aandeel zit in plugins en niet in de kern. De cijfers van Patchstack over 2024 schrijven 97% van de nieuw ontdekte WordPress-kwetsbaarheden toe aan plugins en thema's.

Uitbuiting is industrieel, niet persoonlijk. Bots kammen het internet uit op zoek naar sites met één specifieke kwetsbare versie, en de vijf pagina's tellende site van een bakkerij in Hasselt wordt door dezelfde scripts afgetast als een multinational. Eenmaal binnen versturen aanvallers spam vanaf uw domein, planten ze malware voor uw bezoekers, hengelen ze klantgegevens binnen of leiden ze uw verkeer stilletjes om. Er kunnen weken voorbijgaan voor iemand iets merkt.

De levenscyclus achter elke CCB-waarschuwing is identiek. Een onderzoeker vindt het lek, de ontwikkelaar brengt een patch uit, het advies gaat de deur uit, en vervolgens doen duizenden site-eigenaren niets. De kloof tussen "patch beschikbaar" en "patch geïnstalleerd" is het volledige aanvalsvenster. Uw enige opdracht is dat venster zo dicht mogelijk bij nul te houden.

Artikel 32: waarom de GBA zich interesseert voor uw updategewoontes

In België is updates overslaan niet alleen riskant. Er hangt ook een toezichthouder aan vast.

Artikel 32 van de AVG/GDPR verplicht iedereen die persoonsgegevens verwerkt om "passende technische en organisatorische maatregelen" te nemen om die te beveiligen. Contactformulieren, klantaccounts, onlinebestellingen, nieuwsbriefinschrijvingen: heeft uw WordPress-site er ook maar één van, dan geldt artikel 32 voor u. In België wordt de regel gehandhaafd door de Gegevensbeschermingsautoriteit (GBA) op grond van de Wet van 30 juli 2018.

Leg nu de twee helften naast elkaar. Als de nationale cybersecurityautoriteit elke Belgische organisatie publiek heeft opgeroepen om een plugin te patchen, en zes maanden later lekken uw klantgegevens via exact die ongepatchte plugin, dan wordt "passende maatregelen" een bijzonder moeilijk verdedigbaar argument. De GBA heeft eerder al organisaties gesanctioneerd voor ontoereikende beveiliging, en een inbreuk via een bekend, publiek gesignaleerd en allang gepatcht lek is de zwakst denkbare verdedigingspositie. Bovenop de opkuis komt dan nog de meldplicht voor datalekken binnen 72 uur.

Onze gids over de AVG en een veilige website behandelt de verplichtingen van artikel 32 volledig, en ons overzicht van GDPR-verplichtingen voor Belgische KMO's plaatst pluginhygiëne in het bredere plaatje.

Zoek uit wat er werkelijk op uw site draait

U kunt uw site niet naast een CCB-waarschuwing leggen als u uw plugininventaris niet kent. Vier manieren om die te krijgen, van eenvoudig naar krachtig:

Uw WordPress-dashboard. Onder Plugins > Geïnstalleerde plugins markeert WordPress elke plugin met een openstaande update. Behandel twee meldingen als rood alarm in plaats van als klusjes: "Deze plugin is gesloten" en "Deze plugin is niet getest met uw versie van WordPress". Beide wijzen op verwaarlozing, en verlaten plugins krijgen nooit nog beveiligingsfixes.

Een WPScan-opzoeking. Zoek elk van uw plugins op via wpscan.com/plugins om de bekende kwetsbaarheden en de getroffen versiebereiken te zien. Handig wanneer een CCB-advies een plugin noemt en u wilt nagaan of uw geïnstalleerde versie binnen het kwetsbare bereik valt.

Een externe scan. Onze gratis websitescanner bekijkt uw site van buitenaf, zoals de bot van een aanvaller dat zou doen, en signaleert verouderde software naast andere nalevingsproblemen.

WP-CLI, als u SSH-toegang hebt. Eén commando lijst alles op:

wp plugin list --fields=name,version,update_version,status

En om alleen de plugins met openstaande updates eruit te lichten:

wp plugin list --update=available --format=table

Maak de lijst korter voor u gaat patchen

Elke plugin die u verwijdert, is er een die u nooit meer hoeft te patchen, te bewaken of te vrezen. Dun de inventaris uit voor u uw updateroutine aanscherpt.

Loop de volledige lijst door, inactieve plugins inbegrepen. Gedeactiveerde plugins houden hun PHP-bestanden op de server, en die bestanden zijn vaak rechtstreeks via een URL aan te vallen. Voor elk item beslissen drie vragen over het lot:

1. Doet hij nog een taak? Zo niet, verwijder hem volledig. Deactiveren volstaat niet, zoals het voorbeeld van Better Search Replace toont: een tool die één keer bij een migratie werd gebruikt, bleef sites jarenlang blootstellen.
2. Wordt hij nog onderhouden? Een plugin zonder update in meer dan twaalf maanden is een kandidaat voor vervanging, wat zijn beoordeling ook is.
3. Is hij een nicheproduct? Plugins met slechts enkele honderden installaties krijgen veel minder beveiligingsonderzoek, waardoor lekken later opduiken en patches trager komen.

Een typische KMO-site draait comfortabel op 8 tot 15 plugins. Een inventaris van 30 of meer verbergt bijna altijd dubbels en restanten.

Automatische updates, met een vangnet

Sinds versie 5.5 kan WordPress plugins zelf bijwerken. Voor een kleine onderneming zonder webmaster van wacht is dat meestal de juiste afweging: een zeldzaam lay-outprobleem na een update kost minder dan een inbraak door een gemiste patch.

Schakel het per plugin in via de link "Automatische updates inschakelen" onder Plugins > Geïnstalleerde plugins, of voor alles tegelijk via het menu met bulkacties. Ontwikkelaars kunnen het globaal instellen in wp-config.php:

// Enable auto-updates for all plugins
add_filter( 'auto_update_plugin', '__return_true' );

Twee voorzorgen maken automatische updates veilig. Ten eerste dagelijkse back-ups, zodat een kapotte update binnen enkele minuten teruggedraaid kan worden. Ten tweede, voor een webshop of reservatiesite waar stilstand geld kost, test grote updates op een stagingkopie voor ze de livesite bereiken.

Automatische updates maken de CCB-feed niet overbodig. Wanneer een advies meldt dat een lek actief wordt uitgebuit, controleert u diezelfde dag of de patch effectief geïnstalleerd is in plaats van erop te vertrouwen dat de automatisering eraan toegekomen is.

Al gecompromitteerd? België geeft u een duidelijk draaiboek

Stel dat een CCB-waarschuwing een plugin noemt die u gebruikt, en u ontdekt het te laat. Vreemde beheerdersaccounts, onbekende bestanden in wp-content/uploads, bezoekers die klagen over omleidingen. Handel in deze volgorde:

1. Patch of verwijder de plugin zodat de deur dicht is voor u begint op te ruimen
2. Vervang elk wachtwoord: WordPress-beheerders, de database, FTP/SFTP en uw hostingpaneel
3. Controleer de bestandsintegriteit, bijvoorbeeld met wp plugin verify-checksums of een malwarescanner zoals Wordfence
4. Meld het incident bij het CCB via het meldpunt van CERT.be. Meldingen krijgen binnen enkele minuten een automatische ontvangstbevestiging, de dienst is gratis, en een dossiernummer versterkt elke verzekeringsclaim
5. Bekijk het AVG-luik. Zijn er persoonsgegevens blootgesteld, dan moet de GBA binnen 72 uur na de ontdekking op de hoogte worden gebracht

Voor het volledige herstelparcours, inclusief de melding bij de GBA en wat u aan getroffen klanten vertelt, volgt u ons stappenplan website gehackt: wat nu.

Maak er een routine van: het CyberFundamentals-startpunt

Wilt u pluginhygiëne verankeren in iets duurzamers dan goede voornemens, dan is het programma Safeonweb@work van het CCB gebouwd voor Belgische bedrijven en bovendien gratis. Het bijbehorende CyberFundamentals-kader definieert maturiteitsniveaus, en het laagste, "Small", is bedoeld voor micro-organisaties zonder IT-personeel. Patchbeheer, waar deze hele gids in feite over gaat, zit op dat instapniveau. Een restaurant of kapsalon haalt het met een wekelijkse routine van een kwartier.

Veelgestelde vragen

Hoe volg ik de CCB-waarschuwingen over plugins?

Zet ccb.belgium.be/advisories bij uw favorieten of abonneer u op de RSS-feed. De adviezen verschijnen in het Engels en zijn voor iedereen gratis toegankelijk. Overloop de lijst tijdens uw wekelijkse updateronde en lees elk advies dat software noemt die u gebruikt volledig.

Moet ik een gehackte plugin melden bij CERT.be?

Voor een doorsnee KMO bestaat er geen wettelijke meldplicht bij CERT.be (entiteiten onder NIS2 zijn een apart geval). Toch loont het de moeite: de melding is gratis, wordt binnen enkele minuten bevestigd, helpt het CCB campagnes tegen Belgische bedrijven op te volgen, en geeft u een referentienummer voor verzekeraars. De melding bij de GBA is een ander verhaal. Zijn er persoonsgegevens gelekt, dan is die verplicht binnen 72 uur.

Hoe vaak moet ik op updates controleren?

Minstens wekelijks, met automatische updates als vangnet tussendoor. Zodra een CCB-advies een van uw plugins noemt, geldt het schema niet meer: patch diezelfde dag nog.

Kan een gedeactiveerde plugin nog worden uitgebuit?

Vaak wel. Bij deactivering blijven de PHP-bestanden van de plugin op uw server staan, en veel kwetsbaarheden zijn te triggeren door die bestanden rechtstreeks op te vragen. Verwijderen is de enige toestand die het risico wegneemt.

Mijn site is piepklein. Ben ik echt een doelwit?

U bent geen doelwit in de persoonlijke zin, en dat is net het probleem. Uitbuiting gebeurt door bots die miljoenen sites afspeuren naar één specifieke kwetsbare versie. Ze kijken nooit naar uw bezoekerscijfers. De kwetsbare versie draaien is het enige criterium.

Regelt mijn hostingbedrijf dit niet?

Uw host beveiligt de server onder uw site. De plugins erbovenop zijn van u. Sommige managed WordPress-formules omvatten wel degelijk pluginupdates, maar dat is een contractueel kenmerk om na te kijken, nooit een aanname om te maken.

---

Controleer uw website nu. Scan uw site op verouderde software, beveiligingsproblemen en meer. Gratis, zonder registratie. Scan uw website

Bronnen

• CCB-advies #2024-207 - Kritieke kwetsbaarheid in de GiveWP-plugin, CVE-2024-5932 (ccb.belgium.be)
• CCB-advies #2024-15 - Kritieke injectiekwetsbaarheid in de Better Search Replace-plugin, CVE-2023-6933 (ccb.belgium.be)
• CCB-advies #2023-37 - WordPress plugins kwetsbaar voor privilege-escalatie, CVE-2022-4939 (ccb.belgium.be)
• CCB / CERT.be - Een incident melden (ccb.belgium.be)
• Safeonweb@work - CyberFundamentals-kader (atwork.safeonweb.be)
• AVG/GDPR, artikel 32 - Beveiliging van de verwerking (eur-lex.europa.eu)
• Wet van 30 juli 2018 - Belgische gegevensbeschermingswet (ejustice.just.fgov.be)
• Gegevensbeschermingsautoriteit / GBA (gegevensbeschermingsautoriteit.be)
• NIS 2-richtlijn (EU) 2022/2555 (eur-lex.europa.eu)

Dit is een technische analyse, geen juridisch advies. Raadpleeg een advocaat voor specifiek juridisch advies.