Bestellen
Hosting
Domeinnaam
Ondersteuning
Ontdek

Op deze pagina

Blog / Beveiliging · · ~11 min lezen

WordPress plugins updaten tegen kwetsbaarheden (2026)

In 2026 draait 1 op de 2 WordPress-sites met een lek plugin. Zo update je plugins tegen kwetsbaarheden en voorkom je een hack na Kirki, Everest Forms.

Geschreven door: Pablo Cleij Pablo Cleij
Deel dit artikel

Samenvatting: WordPress plugins updaten tegen kwetsbaarheden

Het aantal gemelde WordPress-pluginkwetsbaarheden steeg in Q1 2026 met 50 procent ten opzichte van Q1 2025[1], en 52,8 procent van alle WordPress-sites draait met minstens één plugin met een bekende, patchbare kwetsbaarheid.[2] Kirki en Everest Forms waren de twee grootste lekken van het jaar. Zet kernplugins op automatisch updaten, test de rest eerst op een staging-omgeving en gebruik een gratis monitoringtool zoals Wordfence of Patchstack om nieuwe kwetsbaarheden meteen te zien.

Je stelt die ene pluginupdate nog even uit, want de site draait toch al drie jaar zonder problemen. Precies dat uitstelgedrag maakte 2026 tot het slechtste jaar ooit voor WordPressKeurigOnline zegtWordPressWordPress is een open-source contentmanagementsysteem (CMS) geschreven in PHP, waarmee je eenvoudig websites en blogs kunt bouwen en beheren.-pluginlekken. Kritieke kwetsbaarheden in populaire plugins als Kirki en Everest Forms werden binnen dagen na openbaarmaking actief misbruikt, zonder dat een aanvaller hoefde in te loggen.[4] In dit artikel lees je welke lekken 2026 tekenden, hoe je zelf checkt of jouw plugins een bekend risico lopen en welk update-beleid je site daadwerkelijk beschermt, van automatische updates tot een concreet stappenplan.

Een hand draait een sleutel om een op een kier staande deur te sluiten

Waarom 2026 het slechtste jaar ooit is voor pluginlekken

De cijfers liegen niet. In het eerste kwartaal van 2026 werden er ruim 800 nieuwe WordPress-pluginkwetsbaarheden gemeld, tegenover ongeveer 530 in dezelfde periode van 2025: een stijging van 50 procent.[1] Meer dan 60 procent van die kwetsbaarheden vereist geen inlog: een aanvaller hoeft alleen je website te vinden, niet ook nog een wachtwoord te raden.[1]

Het probleem zit vrijwel volledig in plugins. Van alle nieuw gemelde kwetsbaarheden zat 91 procent in plugins, 9 procent in thema's en slechts een handvol lowrisk-bugs in WordPress core zelf.[3] En het is geen ver-van-je-bed-show: onderzoek onder bijna tweeduizend WordPress-sites liet zien dat 52,8 procent minstens één plugin draait met een kwetsbaarheid waarvoor al een patch beschikbaar is.[2] Dat is geen edge case: dat is de helft van het WordPress-web dat met de deur open staat.

De gemiddelde tijd tussen het bekend worden van een kwetsbaarheid en het uitbrengen van een patch daalde weliswaar naar 12 dagen, tegen 18 in 2024, maar die patch helpt alleen als je hem ook daadwerkelijk installeert.[1]

De twee lekken die 2026 tekenden: Kirki en Everest Forms

Kirki: account overname via een wachtwoordreset-bug

Kirki is een gratis toolkit waarmee thema's een uitgebreid aanpaspaneel krijgen, en wordt gebruikt op ongeveer 500.000 sites.[5][4] Kirki bracht binnen drie dagen na de melding een fix uit (versie 6.0.7, 18 mei 2026), maar tienduizenden sites draaiden weken later nog steeds op een kwetsbare versie.[5] Onderzoekers schatten dat zo'n 150.000 sites direct risico liepen.[6]

Everest Forms: drie kwetsbaarheden in één formulierplugin

Everest Forms en de premium variant Everest Forms Pro, samen goed voor duizenden sites, hadden in 2026 gelijk drie ernstige kwetsbaarheden. De ergste zat in de Calculation Addon van Everest Forms Pro: die voerde formulierinvoer uit als PHPKeurigOnline zegtPHPPHP (Hypertext Preprocessor) is een populaire open-source scripttaal die speciaal is ontworpen voor webontwikkeling en server-side programmering.-code via een eval()-aanroep, waardoor een aanvaller zonder in te loggen willekeurige code op de server kon draaien (CVE-2026-3300, CVSS 10, de maximale score).[7] Na de patch in versie 1.9.13 blokkeerde Wordfence alleen al meer dan 29.300 aanvalspogingen, met een piek op 16 mei 2026. Aanvallers die erin slaagden, maakten opvallend vaak een nieuw beheerdersaccount aan met de gebruikersnaam "diksimarina": zie je die naam ergens in je gebruikerslijst staan, dan is je site gecompromitteerd.[7] Lees ons uitgebreide artikel over de Everest Forms Pro-kwetsbaarheid voor de volledige technische details en een controlestap voor je eigen site.

De gratis versie van Everest Forms had daarnaast twee eigen lekken: een fout in de old_files-parameter waarmee een aanvaller willekeurige bestanden kon lezen of verwijderen, inclusief wp-config.php met je databasewachtwoord (CVE-2026-5478, tot en met versie 3.4.4)[8], en een PHPKeurigOnline zegtPHPPHP (Hypertext Preprocessor) is een populaire open-source scripttaal die speciaal is ontworpen voor webontwikkeling en server-side programmering. Object Injection-kwetsbaarheid via unserialize() op forminvoer (CVE-2026-3296, tot en met versie 3.4.3).

Kirki en Everest Forms waren de bekendste namen, maar niet de enige. Ook Modular DS, met ongeveer 40.000 sites actief misbruikt, Kali Forms, Quick Playground en GEO my WP met een sql-injectielek kregen in 2026 kritieke patches.[9] Het patroon is duidelijk: dit is geen incident met twee plugins, dit is een structureel probleem met het hele pluginecosysteem.

Hoe je zelf checkt of jouw plugins een bekend lek hebben

Je hoeft niet te wachten tot je hostingpartij je waarschuwt. Drie plekken waar je binnen vijf minuten zelf kunt controleren of een plugin een bekende kwetsbaarheid heeft:

  • De Wordfence-kwetsbaarhedendatabase: doorzoekbaar op plugin- of themanaam, toont CVSS-score en of er al een fix beschikbaar is.
  • wordpresskwetsbaarheden.nl: Nederlandstalig overzicht van recent gemelde lekken, handig om snel te zien of jouw plugin recent in het nieuws was.
  • De changelog van de plugin zelf: zoek naar termen als "security fix", "security update" of een CVE-nummer. Een changelog die alleen "bugfixes" meldt zonder detail is geen garantie dat er geen beveiligingsfix in zit, maar een expliciete vermelding is wel een signaal dat je niet moet uitstellen.

Sommige plugin-eigenschappen verhogen het risico structureel. Premium plugins en thema's blijken drie keer zoveel bekend misbruikte kwetsbaarheden te hebben dan gratis alternatieven uit de officiële repository, en 46 procent had bij openbaarmaking van het lek nog geen patch beschikbaar.[3] De verklaring is simpel: gratis plugins in de officiële repository doorlopen een reviewproces, premium plugins buiten die repository niet. Een tweede risicofactor is een verweesde plugin: een plugin die al meer dan een jaar of twee geen update heeft gehad, wordt door beveiligingsexperts feitelijk als gecompromitteerd beschouwd, ook zonder dat er al een CVE aan hangt.[11]

Automatisch of handmatig updaten: wat is veiliger?

Dit is de vraag die de meeste sitebeheerders bezighoudt, en het eerlijke antwoord is: het hangt af van welke plugin. Automatisch updaten dekt het gat van gemiddeld 12 dagen tussen patch en installatie volledig, want de update draait zodra hij beschikbaar is.[1] Voor WordPress core geldt dit al sinds 2013 voor kleine, minor updates, met een mediane uitroltijd van slechts 5 uur.[11] Het risico van automatisch updaten is dat een plugin-update zonder waarschuwing iets breekt: een gewijzigde functie, een conflict met je thema, een verdwenen instelling. Zonder actuele back-up kost herstel dan uren.

Het beleid dat we onze klanten aanraden is een tweedeling. Zet kernplugins die direct met veiligheid, formulieren of transacties te maken hebben, zoals beveiligingsplugins, formulierplugins en e-commerce, altijd op automatisch updaten: het risico van een niet-gepatcht lek weegt zwaarder dan het risico van een botsing. Update maatwerkplugins en plugins die sterk met je thema samenwerken liever handmatig, na een test op een staging-omgevingKeurigOnline zegtStaging-omgevingEen staging-omgeving is een testomgeving die de productieomgeving nabootst om wijzigingen te testen.. Dit geldt ook voor WordPressKeurigOnline zegtWordPressWordPress is een open-source contentmanagementsysteem (CMS) geschreven in PHP, waarmee je eenvoudig websites en blogs kunt bouwen en beheren. core zelf: lees ons artikel over wat er nieuw is in WordPress 6.9 om te zien wat een core-update raakt voordat je hem doorvoert.

Het update-stappenplan: van backup tot verificatie

Handen inspecteren en pakken zorgvuldig een parachute voordat de sprong wordt gemaakt

Voor de plugins die je liever niet blind automatisch laat updaten, werkt dit stappenplan het beste:[10]

  1. Maak eerst een back-up. Van zowel bestanden als databaseKeurigOnline zegtDatabaseEen database is een georganiseerde verzameling gegevens die elektronisch wordt opgeslagen en beheerd., en controleer dat het herstelpunt daadwerkelijk werkt voordat je verdergaat.
  2. Lees de changelog. Zoek specifiek naar CVE-taal: "security fix", "security update", "vulnerability". Dat verhoogt de urgentie om meteen te updaten in plaats van volgende week.
  3. Test op een staging-omgeving. Vooral bij plugins die diep in je thema of andere plugins ingrijpen, zoals formulieren, page builders en e-commerce.
  4. Update één voor één bij twijfelgevallen. Zo weet je precies welke plugin een probleem veroorzaakt als er iets misgaat, in plaats van te moeten gokken tussen vijf tegelijk bijgewerkte plugins.
  5. Controleer de error-logs na afloop. Een update kan een fout in stilte veroorzaken die pas bij het volgende bezoek van een klant zichtbaar wordt.

Dit stappenplan kost bij een kleine site misschien tien minuten, maar het is precies het verschil tussen een geplande update en een noodgeval om drie uur 's nachts.

Monitoringtools: Wordfence, Patchstack en Jetpack Protect vergeleken

Zelf elke changelog nalezen is niet vol te houden zodra je meer dan een paar plugins draait. Deze drie tools nemen dat werk over:

  • Wordfence: de bekendste optie, combineert een firewallKeurigOnline zegtFirewallEen firewall is een beveiligingssysteem dat netwerkverkeer filtert en ongeautoriseerde toegang tot netwerken en servers blokkeert. met een kwetsbaarhedendatabase van meer dan 13.000 geregistreerde issues, waarvan 57 procent inmiddels gepatcht.[12] Gratis voor basisscans en firewall, betaald voor realtime dreigingsdefinities en premium support.
  • Patchstack: gespecialiseerd in vroegtijdige waarschuwing, het gratis plan geeft tot 48 uur voorsprong op nieuwe kwetsbaarheden via e-mailalerts en een dashboard voor maximaal drie sites.[13] Prettig als je meerdere WordPress-sites beheert.
  • Jetpack Protect: gratis dagelijkse kwetsbaarheidsscans op basis van de WPScan-database met meer dan 60.000 bekende kwetsbaarheden.[14] Goede instap als je al andere Jetpack-functies gebruikt en geen losse tool erbij wilt.

Voor de meeste kleine sites is één gratis tool, consequent gebruikt, al genoeg om binnen een dag te weten wanneer een plugin die je gebruikt in het nieuws komt.

Wat als je al gehackt bent via een plugin-lek?

Een paar signalen wijzen vrijwel altijd op een gecompromitteerde site via een pluginlek: een beheerdersaccount dat je niet zelf hebt aangemaakt, let specifiek op de gebruikersnaam "diksimarina", een bekend patroon uit de Everest Forms-aanvallen[7], een site die ineens trager laadt zonder duidelijke reden, of uitgaande mail die je zelf niet verstuurd hebt.

Herken je een van deze signalen, doe dan meteen deze drie dingen:

  1. Zet de site in onderhoudsmodus. Voorkom dat bezoekers of zoekmachines besmette pagina's te zien krijgen zolang je nog aan het opruimen bent.
  2. Roteer alle wachtwoorden en tokens. WordPress-inlog, database, FTPKeurigOnline zegtFTPFTP (File Transfer Protocol) is een protocol voor het overdragen van bestanden tussen computers via een netwerk./SFTP en eventuele APIKeurigOnline zegtAPIEen API (Application Programming Interface) is een set regels en protocollen waarmee softwareapplicaties met elkaar kunnen communiceren en gegevens uitwisselen.-sleutels. Een aanvaller met toegang heeft mogelijk meer dan alleen het admin-account gekopieerd.
  3. Draai een volledige malwarescan. Met Wordfence of een vergelijkbare tool, en verwijder de kwetsbare plugin of update hem meteen naar de gepatchte versie voordat je de site weer online zet.

Twijfel je of je dit zelf kunt oplossen, neem dan contact op met je hostingpartij. Bij KeurigOnline helpen we klanten direct bij het opschonen van een gehackte WordPress-site en het dichten van het lek dat toegang gaf.

Praktisch: je site in 15 minuten pluginveilig maken

Geen tijd voor het volledige stappenplan vandaag? Doorloop dan deze compacte checklist:

  • Maak een lijst van alle actieve plugins en noteer wanneer elke plugin voor het laatst is bijgewerkt.
  • Zet automatische updates aan voor je beveiligings-, formulier- en e-commerceplugins.
  • Installeer één gratis monitoringtool, Wordfence, Patchstack of Jetpack Protect, en activeer e-mailalerts.
  • Controleer of je back-upschema daadwerkelijk draait, niet alleen of het ooit is ingesteld.
  • Verwijder plugins die je niet meer gebruikt in plaats van ze alleen te deactiveren: een gedeactiveerde plugin kan nog steeds een kwetsbaarheid bevatten.

Een verouderde plugin raakt trouwens niet alleen je veiligheid, maar vaak ook je laadtijd. Lees ook ons artikel over je WordPress-site sneller maken en de meest voorkomende redenen waarom een WordPress-site traag is voor de andere kant van dezelfde medaille.

Veelgestelde vragen

Moet ik al mijn WordPress-plugins automatisch laten updaten, of handmatig?

Zet automatische updates aan voor plugins die direct met veiligheid, formulieren of transacties te maken hebben, zoals beveiligingsplugins en e-commerceplugins. Update maatwerkplugins en plugins die sterk met je thema samenwerken liever handmatig, na een test op een staging-omgeving, zodat een onverwachte breuk je niet direct in productie raakt.

Wat is het verschil tussen Wordfence, Patchstack en Jetpack Protect?

Wordfence combineert een firewallKeurigOnline zegtFirewallEen firewall is een beveiligingssysteem dat netwerkverkeer filtert en ongeautoriseerde toegang tot netwerken en servers blokkeert. met een grote kwetsbaarhedendatabase en is het meest uitgebreid. Patchstack is gespecialiseerd in vroegtijdige waarschuwing, met tot 48 uur voorsprong in het gratis plan.[13] Jetpack Protect draait gratis dagelijkse scans op basis van de WPScan-databaseKeurigOnline zegtDatabaseEen database is een georganiseerde verzameling gegevens die elektronisch wordt opgeslagen en beheerd. en is handig als je al andere Jetpack-functies gebruikt.[14]

Hoe weet ik of een plugin die ik gebruik een actief misbruikte kwetsbaarheid heeft?

Zoek de plugin op in de Wordfence-kwetsbaarhedendatabase of op wordpresskwetsbaarheden.nl, of lees de changelog op termen als "security fix" of een CVE-nummer. Een monitoringtool met e-mailalerts, zoals Patchstack of Jetpack Protect, waarschuwt je automatisch zodra er een nieuwe kwetsbaarheid in een van je geïnstalleerde plugins wordt gevonden.

Is een uitgeschakelde maar niet-verwijderde plugin nog een risico?

Ja. De broncode van een gedeactiveerde plugin blijft op de server staan en kan nog steeds via een directe bestandsaanvraag of een andere kwetsbaarheid worden aangeroepen. Verwijder plugins die je niet meer gebruikt volledig in plaats van ze alleen te deactiveren.

Binnen hoeveel tijd moet ik een kritieke beveiligingspatch installeren?

Zo snel mogelijk, het liefst binnen 24 uur. De gemiddelde patchtijd in de sector is inmiddels 12 dagen, maar meer dan 60 procent van de kwetsbaarheden vereist geen authenticatie.[1] Bij een kritieke CVSS-score van 9 of hoger, zoals bij Kirki met 9,8 en Everest Forms Pro met 10, is elke dag uitstel een dag extra risico.

Wat doe ik als een automatische update mijn site breekt?

Herstel eerst de back-up die je vóór de update hebt gemaakt, zodat je site weer online is. Onderzoek daarna op een staging-omgevingKeurigOnline zegtStaging-omgevingEen staging-omgeving is een testomgeving die de productieomgeving nabootst om wijzigingen te testen. welke wijziging het conflict veroorzaakte, en meld dit eventueel bij de plugin-ontwikkelaar. Dit is precies de reden waarom een actuele back-up geen optioneel stapje is, maar een voorwaarde voor automatisch updaten.

Bronnen