Eerlijk gezegd is dat nog optimistisch. Want bij sommige lekken die deze maand opdoken, begonnen de aanvallen al voordat de meeste sitebeheerders überhaupt wisten dat er iets mis was.
Mei 2026 was een drukke maand voor iedereen die WordPress-sites beheert. Niet vanwege één spectaculaire hack, maar vanwege een patroon dat steeds duidelijker wordt: de tijd tussen “er is een lek ontdekt” en “het wordt actief misbruikt” is gekrompen van maanden naar uren. En dat verandert fundamenteel wat “onderhoud” eigenlijk betekent.
Wat er deze maand misging
Drie voorbeelden, allemaal uit plugins die je waarschijnlijk kent of zelfs zelf gebruikt.
Burst Statistics is een privacy-vriendelijke analytics-plugin, juist het soort tool dat veiligheidsbewuste ondernemers bewust kiezen in plaats van Google Analytics. Eind april sloop er een kwetsbaarheid in waarmee een aanvaller, zonder in te loggen, een beheerdersaccount kon overnemen. Niet door het wachtwoord te kraken, maar door simpelweg een willekeurig fout wachtwoord mee te sturen. Het lek kreeg de hoogst mogelijke urgentiescore. Binnen één etmaal na bekendmaking werden er al duizenden aanvallen op geregistreerd.
Funnel Builder, een plugin gericht op WooCommerce-webshops, kreeg te maken met een lek dat actief werd gebruikt om kwaadaardige code in de afrekenpagina te injecteren. Het doel: betaalgegevens van klanten meelezen tijdens het afrekenen. Voor een webshop is dat zo’n beetje het ergste scenario dat er bestaat.
Avada Builder, een van de populairste page builders met meer dan een miljoen installaties, bleek twee lekken te bevatten waarmee gevoelige gegevens, waaronder wachtwoord-hashes, uitgelezen konden worden.
Drie plugins, samen goed voor miljoenen websites. En dit is slechts een greep uit één maand.
Het echte probleem is niet de plugin. Het is het tempo.
Het is verleidelijk om te denken: “dan gebruik ik die ene plugin gewoon niet.” Maar dat is symptoombestrijding. Het werkelijke probleem zit in iets anders.
Twee jaar geleden bleef een gemiddeld plugin-lek 60 tot 180 dagen onder de radar voordat het publiek bekend werd. Je had als beheerder dus ruim de tijd. Bij het Burst Statistics-lek zat er tussen de kwetsbare code en de oplossing slechts 19 dagen. Het lek werd gevonden door een AI-systeem dat continu plugin-code doorzoekt.
Dat is het kantelpunt. Aanvallers gebruiken diezelfde AI-tools om nieuwe kwetsbaarheden binnen enkele uren na bekendmaking te bewapenen. Het venster waarin je veilig bent versmald van maanden naar, letterlijk, uren.
En dat betekent dat de klassieke aanpak niet meer werkt.
“We updaten wel een keer” is geen onderhoud meer
De meeste sites worden zo onderhouden: er wordt af en toe ingelogd, de updates die klaarstaan worden uitgevoerd, klaar. Misschien een keer per maand. Misschien als er tijd voor is. Misschien rond de feestdagen.
Tot voor kort was dat verdedigbaar. Vandaag niet meer. Een lek dat op een dinsdag bekend wordt en op woensdag al wordt uitgebuit, is allang misbruikt tegen de tijd dat iemand “volgende week wel even kijkt”. De update zelf is niet het probleem, die is er vaak binnen dagen. Het probleem is de vertraging aan jouw kant.
Er zit ook een addertje onder het gras dat veel mensen niet weten: beveiligingsplugins zoals firewalls beschermen betalende abonnees vaak meteen, maar gratis gebruikers krijgen diezelfde bescherming soms pas weken later. In de tussentijd is updaten de enige echte verdediging die je hebt.
Hoe PC Patrol dit aanpakt
Bij managed WordPress-hosting van PC Patrol is onderhoud geen losse handeling die af en toe gebeurt, maar een continu proces:
- Monitoring van kwetsbaarheden, zodat een nieuw lek in een geïnstalleerde plugin direct in beeld is, niet pas bij de volgende handmatige controle.
- Snelle uitrol van beveiligingsupdates, zodat patches binnen uren na release live staan in plaats van bij de volgende keer dat iemand eraan denkt.
- Server- en malware-monitoring als vangnet, voor het geval een aanval tóch een keer sneller is dan de patch.
- Dagelijkse back-ups, zodat een site in het ergste geval snel en schoon teruggezet kan worden.
Het verschil is simpel: niet “we updaten af en toe”, maar “het gat tussen lek en patch wordt zo klein mogelijk gehouden, voor jou, zonder dat je er zelf aan hoeft te denken.”
Wat je vandaag kunt doen
Beheer je je WordPress-site zelf? Loop dan in elk geval deze stappen na:
- Controleer of je een van de genoemde plugins gebruikt (Burst Statistics, Funnel Builder, Avada Builder) en werk ze direct bij naar de nieuwste versie.
- Kijk in je gebruikersoverzicht of er onbekende beheerdersaccounts zijn aangemaakt.
- Zorg dat automatische updates voor plugins aanstaan, of dat iemand de verantwoordelijkheid heeft om ze snel uit te voeren.
- Controleer of je een recente, werkende back-up hebt.
En als je liever niet wekelijks zelf de WordPress-beveiligingsnieuwsberichten in de gaten houdt: daar zijn wij voor. Bij PC Patrol nemen we het complete onderhoud van je WordPress-site uit handen, zodat een lek dat vanochtend bekend werd, vanmiddag al gedicht is.
Wil je weten of jouw site goed beschermd is? Neem contact op voor een vrijblijvende check, dan kijken we samen waar de risico’s zitten.