wp2shell: kritiek WordPress-lek, dit moet je nu doen

INHOUD
    PC Patrol

    Wij regelen je hosting, jij doet de business.

    • Managed webhosting & WordPress
    • Cloud VPS in EU-datacenter
    • Microsoft 365 & e-mail
    • Nederlandse support
    Bekijk onze diensten

    Op 17 juli 2026 werd een lek in WordPress zelf openbaar gemaakt met de naam wp2shell. Het korte antwoord op de vraag wat je moet doen: controleer welke WordPress-versie je draait, en zorg dat je op 7.0.2 of 6.9.5 zit. Zit je daaronder in de 6.9- of 7.0-reeks, dan is je site kwetsbaar en moet je vandaag bijwerken.

    Geen paniek nodig, wel actie. Hieronder leggen we in gewone taal uit wat wp2shell is, welke sites het raakt, hoe je in twee minuten checkt of jij erbij hoort en waarom “mijn site doet toch automatische updates” niet altijd genoeg is.

    Wat is wp2shell?

    wp2shell is de bijnaam van een kwetsbaarheid in WordPress core, officieel geregistreerd als CVE-2026-63030. Het is gevonden door onderzoeker Adam Kues van Assetnote, het onderzoeksteam van Searchlight Cyber, en netjes gemeld via het beveiligingsprogramma van WordPress.

    Wat het ernstig maakt, zijn twee dingen. Ten eerste zit het in WordPress zelf, niet in een plugin. Een kale WordPress-installatie zonder enkele plugin is dus ook kwetsbaar. Dat is ongebruikelijk: normaal gesproken zit ruim negen op de tien WordPress-lekken in plugins.

    Ten tweede is er geen inlog voor nodig. Een aanvaller hoeft geen account te hebben en jij hoeft nergens op te klikken. Het lek zit in het onderdeel waarmee WordPress meerdere verzoeken tegelijk verwerkt (de zogeheten batch-route van de REST API), en via die weg kan een buitenstaander code op je server laten draaien. In de praktijk betekent dat volledige overname van de site en de gegevens die erachter zitten.

    De technische details zijn bewust nog niet gepubliceerd, juist om beheerders tijd te geven om bij te werken. Verwacht wel dat ze snel volgen. Rapid7 schat in dat er op korte termijn een openbaar voorbeeld-exploit komt.

    Welke WordPress-versies zijn kwetsbaar?

    Kijk in je dashboard rechtsonder, of ga naar Dashboard en dan Updates. Daar staat je versienummer.

    • 6.8.5 en ouder: niet kwetsbaar voor dit lek.
    • 6.9.0 tot en met 6.9.4: kwetsbaar. Werk bij naar 6.9.5.
    • 7.0.0 en 7.0.1: kwetsbaar. Werk bij naar 7.0.2.
    • 7.0.2 of 6.9.5: je zit goed.

    Wil je het niet zelf uitzoeken, dan heeft Searchlight Cyber een gratis controlepagina online gezet op wp2shell.com waar je je website-adres invult en direct ziet of je instantie kwetsbaar is.

    Een nuance die het waard is om te noemen: Cloudflare meldde dat de kwetsbare route alleen bereikbaar is als er geen persistente object cache actief is. Dat maakt het risico voor sommige sites kleiner, maar het is geen reden om niet bij te werken. Je wilt niet gokken op een technisch detail dat morgen anders kan liggen.

    “Mijn site update toch automatisch?”

    WordPress heeft bij dit lek geforceerde updates aangezet voor installaties waar automatische updates aanstaan. Dat is goed nieuws, en voor veel sites is het daarmee al geregeld.

    Alleen: het gaat mis in precies de gevallen waarin je het niet doorhebt. Automatische updates staan bij verrassend veel MKB-sites uit, meestal omdat een webbouwer ze ooit heeft uitgezet om te voorkomen dat een update het maatwerk sloopt. Ook een site die vastloopt op een schijf die vol zit, een bestandsrechtenprobleem of een oude PHP-versie, krijgt de update simpelweg niet binnen. En dan is er nog de site die niemand meer beheert sinds het bureau dat hem bouwde ermee gestopt is.

    Vertrouw dus niet op de aanname. Kijk gewoon even wat er in je dashboard staat. Twee minuten werk.

    Wat je vandaag doet, in volgorde

    1. Controleer je versie in het WordPress-dashboard, of via de checker op wp2shell.com.
    2. Maak een back-up voordat je bijwerkt. Ook bij een beveiligingsupdate wil je een vangnet.
    3. Werk bij naar 7.0.2 of 6.9.5. Dit is een beveiligingsrelease, geen functie-update, dus het risico op verrassingen is klein.
    4. Controleer daarna je belangrijkste pagina’s: homepage, contactformulier, inlog en afrekenen als je een webshop hebt.
    5. Kun je echt niet direct bijwerken, blokkeer dan tijdelijk anonieme toegang tot /wp-json/batch/v1 en ?rest_route=/batch/v1 op firewallniveau. Dit is een noodmaatregel die legitiem gebruik van je site kan raken, dus alleen als overbrugging tot je kunt updaten.
    6. Vertrouw je het niet? Kijk of er onbekende beheerdersaccounts zijn bijgekomen en of er recent vreemde bestanden zijn aangepast. Zie je iets verdachts, volg dan ons noodprotocol voor een gehackte WordPress-site.

    Op het moment van schrijven zijn er nog geen bevestigde aanvallen in het wild gemeld. Dat is geen reden om te wachten, want dat verandert doorgaans binnen dagen zodra de details bekend worden.

    Waarom dit lek anders voelt dan de vorige

    De meeste beveiligingsberichten over WordPress gaan over een plugin die je toevallig wel of niet gebruikt. Dit keer is de vraag niet welke plugins je draait, maar of iemand je versienummer in de gaten houdt. Dat is een ander soort vraag, en voor een ondernemer zonder eigen IT’er ook een oncomfortabele: je weet het antwoord meestal niet.

    Dat is precies waar een onderhoudscontract voor bedoeld is. Niet om een dashboard vol grafieken te krijgen, maar zodat er op een vrijdagavond in juli iemand is die ziet dat er een noodrelease uit is en handelt voordat jij het nieuws leest. Bij ons draaien beveiligingsupdates zoals deze binnen vier uur na bekendwording, scannen we dagelijks op malware en bekende kwetsbaarheden via Patchstack en Wordfence, en maken we dagelijks een offsite back-up in een EU-datacenter met dertig dagen bewaartijd, die we maandelijks daadwerkelijk terugzetten om te controleren of hij werkt.

    Voor de volledigheid en omdat we zelf ook gewoon een WordPress-site hebben: pcpatrol.nl draait op 7.0.2 en is dus niet kwetsbaar.

    Wat het kost om dit uit handen te geven

    WordPress-onderhoud uitbesteden start bij ons op 79 euro per maand, maandelijks opzegbaar en zonder setup-kosten. Je huidige hosting mag je houden. Hoe je zelf updates draait zonder dat er iets sneuvelt, lees je in ons artikel over WordPress veilig updaten met staging en geteste back-ups. En wil je weten hoe je voorkomt dat er onnodige software op je site staat die ditzelfde probleem vergroot, kijk dan naar te veel WordPress-plugins opruimen.

    Er speelt nog iets. Vanaf 15 augustus 2026 geldt de Cyberbeveiligingswet, de Nederlandse uitwerking van NIS2. Bedrijven die eronder vallen moeten kunnen laten zien hoe hun leveranciers patchmanagement geregeld hebben. Een noodrelease als deze is precies het moment waarop dat zichtbaar wordt: kun je aantonen binnen hoeveel uur je site is bijgewerkt? Meer daarover in ons artikel over de Cyberbeveiligingswet en het MKB.

    Veelgestelde vragen over wp2shell

    Wat is wp2shell precies?

    wp2shell is de bijnaam van CVE-2026-63030, een kritieke kwetsbaarheid in WordPress core die op 17 juli 2026 openbaar werd. Een aanvaller kan er zonder in te loggen code mee uitvoeren op je server, via de batch-route van de REST API. Omdat het in WordPress zelf zit en niet in een plugin, is ook een kale installatie kwetsbaar.

    Welke WordPress-versies zijn kwetsbaar voor wp2shell?

    De versies 6.9.0 tot en met 6.9.4 en de versies 7.0.0 en 7.0.1 zijn kwetsbaar. WordPress 6.8.5 en ouder zijn niet kwetsbaar voor dit specifieke lek. De oplossing zit in 6.9.5 en 7.0.2.

    Hoe check ik of mijn site kwetsbaar is?

    Kijk in je WordPress-dashboard rechtsonder of via Dashboard en dan Updates welk versienummer er staat. Wil je het laten controleren, dan heeft Searchlight Cyber een gratis checker online gezet op wp2shell.com waar je je website-adres invult.

    Mijn WordPress update automatisch, ben ik dan veilig?

    Waarschijnlijk wel, maar controleer het. WordPress heeft voor dit lek geforceerde updates aangezet, alleen bereikt dat geen sites waar automatische updates uitstaan of waar de update vastloopt op bijvoorbeeld een volle schijf of verkeerde bestandsrechten. Bij veel MKB-sites zijn automatische updates ooit uitgezet door de webbouwer.

    Kan ik zien of mijn site al misbruikt is?

    Let op nieuwe beheerdersaccounts die je niet kent, recent gewijzigde bestanden en ongebruikelijke doorverwijzingen van bezoekers. Zekerheid krijg je alleen met een grondige scan en een controle van je logbestanden. Vertrouw je het niet, werk dan eerst bij en volg daarna ons noodprotocol voor een gehackte site.

    WordPress-onderhoud

    Iemand die je versienummer voor je in de gaten houdt

    Beveiligingsupdates binnen vier uur na bekendwording, dagelijkse malware-scans en een back-up die we maandelijks echt terugzetten. Vanaf 79 euro per maand, maandelijks opzegbaar, je huidige hosting mag je houden.

    Bekijk WordPress-onderhoud Plan gratis adviesgesprek

    Tik je bedrijfsnaam in en check de extensies.

    Eén afrekening, drie domeinen, volledige bescherming.