Burst Statistics kwetsbaarheid: beheerderstoegang verloren

Een ernstige kwetsbaarheid in de WordPress-plugin Burst Statistics wordt momenteel actief uitgebuit door aanvallers. Websitebeheerders lopen het risico de volledige administratieve controle over hun site te verliezen. Gebruikt u deze plugin voor het bijhouden van bezoekersstatistieken, dan moet u nu actie ondernemen.

Wat is er aan de hand?

Volgens BleepingComputer maken hackers actief misbruik van een kritieke authenticatie-bypass-kwetsbaarheid in de Burst Statistics-plugin, geregistreerd als CVE-2026-8181. Door de fout kunnen aanvallers het inlogproces volledig omzeilen en beheerderstoegang tot een WordPress-site verkrijgen, zonder dat zij een geldig wachtwoord nodig hebben.

De kwetsbaarheid ontstaat doordat de plugin het resultaat van een WordPress-authenticatiefunctie verkeerd uitleest. Wanneer die functie een fout of een leeg resultaat teruggeeft, beschouwt de plugin dit ten onrechte als een geslaagde aanmelding. Dit betekent dat een aanvaller elk willekeurig onjuist wachtwoord kan opgeven en toch beheerderstoegang krijgt tijdens een REST API-verzoek. In het ergste geval kan een aanvaller hiermee, aldus BleepingComputer, een geheel nieuw beheerdersaccount aanmaken op uw site, zonder dat hij daarvoor vooraf toegang nodig heeft.

Hoe groot is het probleem?

Burst Statistics is geïnstalleerd op ongeveer 200.000 WordPress-sites. Volgens BleepingComputer zijn nog zo'n 115.000 van die sites kwetsbaar. Wordfence, het beveiligingsbedrijf dat de fout op 8 mei 2026 ontdekte, meldt in een periode van 24 uur meer dan 7.400 aanvallen op deze kwetsbaarheid te hebben geblokkeerd. Dat cijfer maakt duidelijk hoe actief er misbruik van wordt gemaakt.

Wat kunnen aanvallers doen met beheerderstoegang?

Beheerderstoegang tot uw WordPress-site is in feite de sleutel tot het hele gebouw. Een aanvaller met dit niveau van controle kan privégegevens inzien, kwaadaardige code installeren, bezoekers doorsturen naar schadelijke websites of u volledig buitensluiten van uw eigen site. Voor een klein bedrijf kan zo'n inbreuk uw reputatie schaden en mogelijk de gegevens van uw klanten in gevaar brengen.

Wat moet u nu doen?

De oplossing is eenvoudig. Volgens BleepingComputer dient u de Burst Statistics-plugin zo snel mogelijk bij te werken naar versie 3.4.2 of hoger. Als u niet direct kunt updaten, is het veiliger de plugin tijdelijk uit te schakelen totdat u dat wel kunt.

U kunt controleren welke plugins op uw site zijn geïnstalleerd door in te loggen op uw WordPress-dashboard en naar het onderdeel Plugins te navigeren. Weet u niet hoe u dit moet doen, vraag dan uw webontwikkelaar of hostingprovider om hulp.

Voor bredere richtlijnen over het beveiligen van uw website, zie onze beveiligingschecklist voor het mkb en onze gids over kwetsbare WordPress-plugins.

Wat betekent dit voor uw website?

Gebruikt u Burst Statistics om uw websitebezoekers bij te houden, dan loopt uw site mogelijk het risico te worden overgenomen door een onbevoegde derde partij. De plugin bijwerken naar versie 3.4.2 sluit de kwetsbaarheid en is de belangrijkste stap die u vandaag kunt zetten. Al uw plugins up-to-date houden is een van de eenvoudigste en meest effectieve manieren om uw bedrijf online te beschermen.