Je winkelwagen is leeg
Producten die je toevoegt, verschijnen hier.
In 2026 draait 1 op de 2 WordPress-sites met een lek plugin. Zo update je plugins tegen kwetsbaarheden en voorkom je een hack na Kirki, Everest Forms.
Samenvatting: WordPress plugins updaten tegen kwetsbaarheden
Het aantal gemelde WordPress-pluginkwetsbaarheden steeg in Q1 2026 met 50 procent ten opzichte van Q1 2025[1], en 52,8 procent van alle WordPress-sites draait met minstens één plugin met een bekende, patchbare kwetsbaarheid.[2] Kirki en Everest Forms waren de twee grootste lekken van het jaar. Zet kernplugins op automatisch updaten, test de rest eerst op een staging-omgeving en gebruik een gratis monitoringtool zoals Wordfence of Patchstack om nieuwe kwetsbaarheden meteen te zien.
Je stelt die ene pluginupdate nog even uit, want de site draait toch al drie jaar zonder problemen. Precies dat uitstelgedrag maakte 2026 tot het slechtste jaar ooit voor WordPress
KeurigOnline zegtWordPress

De cijfers liegen niet. In het eerste kwartaal van 2026 werden er ruim 800 nieuwe WordPress-pluginkwetsbaarheden gemeld, tegenover ongeveer 530 in dezelfde periode van 2025: een stijging van 50 procent.[1] Meer dan 60 procent van die kwetsbaarheden vereist geen inlog: een aanvaller hoeft alleen je website te vinden, niet ook nog een wachtwoord te raden.[1]
Het probleem zit vrijwel volledig in plugins. Van alle nieuw gemelde kwetsbaarheden zat 91 procent in plugins, 9 procent in thema's en slechts een handvol lowrisk-bugs in WordPress core zelf.[3] En het is geen ver-van-je-bed-show: onderzoek onder bijna tweeduizend WordPress-sites liet zien dat 52,8 procent minstens één plugin draait met een kwetsbaarheid waarvoor al een patch beschikbaar is.[2] Dat is geen edge case: dat is de helft van het WordPress-web dat met de deur open staat.
De gemiddelde tijd tussen het bekend worden van een kwetsbaarheid en het uitbrengen van een patch daalde weliswaar naar 12 dagen, tegen 18 in 2024, maar die patch helpt alleen als je hem ook daadwerkelijk installeert.[1]
Kirki is een gratis toolkit waarmee thema's een uitgebreid aanpaspaneel krijgen, en wordt gebruikt op ongeveer 500.000 sites.[5][4] Kirki bracht binnen drie dagen na de melding een fix uit (versie 6.0.7, 18 mei 2026), maar tienduizenden sites draaiden weken later nog steeds op een kwetsbare versie.[5] Onderzoekers schatten dat zo'n 150.000 sites direct risico liepen.[6]
Everest Forms en de premium variant Everest Forms Pro, samen goed voor duizenden sites, hadden in 2026 gelijk drie ernstige kwetsbaarheden. De ergste zat in de Calculation Addon van Everest Forms Pro: die voerde formulierinvoer uit als PHP
KeurigOnline zegtPHPeval()-aanroep, waardoor een aanvaller zonder in te loggen willekeurige code op de server kon draaien (CVE-2026-3300, CVSS 10, de maximale score).[7] Na de patch in versie 1.9.13 blokkeerde Wordfence alleen al meer dan 29.300 aanvalspogingen, met een piek op 16 mei 2026. Aanvallers die erin slaagden, maakten opvallend vaak een nieuw beheerdersaccount aan met de gebruikersnaam "diksimarina": zie je die naam ergens in je gebruikerslijst staan, dan is je site gecompromitteerd.[7] Lees ons uitgebreide artikel over de Everest Forms Pro-kwetsbaarheid voor de volledige technische details en een controlestap voor je eigen site.
De gratis versie van Everest Forms had daarnaast twee eigen lekken: een fout in de old_files-parameter waarmee een aanvaller willekeurige bestanden kon lezen of verwijderen, inclusief wp-config.php met je databasewachtwoord (CVE-2026-5478, tot en met versie 3.4.4)[8], en een PHP
KeurigOnline zegtPHPunserialize() op forminvoer (CVE-2026-3296, tot en met versie 3.4.3).
Kirki en Everest Forms waren de bekendste namen, maar niet de enige. Ook Modular DS, met ongeveer 40.000 sites actief misbruikt, Kali Forms, Quick Playground en GEO my WP met een sql-injectielek kregen in 2026 kritieke patches.[9] Het patroon is duidelijk: dit is geen incident met twee plugins, dit is een structureel probleem met het hele pluginecosysteem.
Je hoeft niet te wachten tot je hostingpartij je waarschuwt. Drie plekken waar je binnen vijf minuten zelf kunt controleren of een plugin een bekende kwetsbaarheid heeft:
Sommige plugin-eigenschappen verhogen het risico structureel. Premium plugins en thema's blijken drie keer zoveel bekend misbruikte kwetsbaarheden te hebben dan gratis alternatieven uit de officiële repository, en 46 procent had bij openbaarmaking van het lek nog geen patch beschikbaar.[3] De verklaring is simpel: gratis plugins in de officiële repository doorlopen een reviewproces, premium plugins buiten die repository niet. Een tweede risicofactor is een verweesde plugin: een plugin die al meer dan een jaar of twee geen update heeft gehad, wordt door beveiligingsexperts feitelijk als gecompromitteerd beschouwd, ook zonder dat er al een CVE aan hangt.[11]
Dit is de vraag die de meeste sitebeheerders bezighoudt, en het eerlijke antwoord is: het hangt af van welke plugin. Automatisch updaten dekt het gat van gemiddeld 12 dagen tussen patch en installatie volledig, want de update draait zodra hij beschikbaar is.[1] Voor WordPress core geldt dit al sinds 2013 voor kleine, minor updates, met een mediane uitroltijd van slechts 5 uur.[11] Het risico van automatisch updaten is dat een plugin-update zonder waarschuwing iets breekt: een gewijzigde functie, een conflict met je thema, een verdwenen instelling. Zonder actuele back-up kost herstel dan uren.
Het beleid dat we onze klanten aanraden is een tweedeling. Zet kernplugins die direct met veiligheid, formulieren of transacties te maken hebben, zoals beveiligingsplugins, formulierplugins en e-commerce, altijd op automatisch updaten: het risico van een niet-gepatcht lek weegt zwaarder dan het risico van een botsing. Update maatwerkplugins en plugins die sterk met je thema samenwerken liever handmatig, na een test op een staging-omgeving
KeurigOnline zegtStaging-omgeving
KeurigOnline zegtWordPress

Voor de plugins die je liever niet blind automatisch laat updaten, werkt dit stappenplan het beste:[10]
Dit stappenplan kost bij een kleine site misschien tien minuten, maar het is precies het verschil tussen een geplande update en een noodgeval om drie uur 's nachts.
Zelf elke changelog nalezen is niet vol te houden zodra je meer dan een paar plugins draait. Deze drie tools nemen dat werk over:
Voor de meeste kleine sites is één gratis tool, consequent gebruikt, al genoeg om binnen een dag te weten wanneer een plugin die je gebruikt in het nieuws komt.
Een paar signalen wijzen vrijwel altijd op een gecompromitteerde site via een pluginlek: een beheerdersaccount dat je niet zelf hebt aangemaakt, let specifiek op de gebruikersnaam "diksimarina", een bekend patroon uit de Everest Forms-aanvallen[7], een site die ineens trager laadt zonder duidelijke reden, of uitgaande mail die je zelf niet verstuurd hebt.
Herken je een van deze signalen, doe dan meteen deze drie dingen:
Twijfel je of je dit zelf kunt oplossen, neem dan contact op met je hostingpartij. Bij KeurigOnline helpen we klanten direct bij het opschonen van een gehackte WordPress-site en het dichten van het lek dat toegang gaf.
Geen tijd voor het volledige stappenplan vandaag? Doorloop dan deze compacte checklist:
Een verouderde plugin raakt trouwens niet alleen je veiligheid, maar vaak ook je laadtijd. Lees ook ons artikel over je WordPress-site sneller maken en de meest voorkomende redenen waarom een WordPress-site traag is voor de andere kant van dezelfde medaille.
Zet automatische updates aan voor plugins die direct met veiligheid, formulieren of transacties te maken hebben, zoals beveiligingsplugins en e-commerceplugins. Update maatwerkplugins en plugins die sterk met je thema samenwerken liever handmatig, na een test op een staging-omgeving, zodat een onverwachte breuk je niet direct in productie raakt.
Wordfence combineert een firewall
KeurigOnline zegtFirewall
KeurigOnline zegtDatabase
Zoek de plugin op in de Wordfence-kwetsbaarhedendatabase of op wordpresskwetsbaarheden.nl, of lees de changelog op termen als "security fix" of een CVE-nummer. Een monitoringtool met e-mailalerts, zoals Patchstack of Jetpack Protect, waarschuwt je automatisch zodra er een nieuwe kwetsbaarheid in een van je geïnstalleerde plugins wordt gevonden.
Ja. De broncode van een gedeactiveerde plugin blijft op de server staan en kan nog steeds via een directe bestandsaanvraag of een andere kwetsbaarheid worden aangeroepen. Verwijder plugins die je niet meer gebruikt volledig in plaats van ze alleen te deactiveren.
Zo snel mogelijk, het liefst binnen 24 uur. De gemiddelde patchtijd in de sector is inmiddels 12 dagen, maar meer dan 60 procent van de kwetsbaarheden vereist geen authenticatie.[1] Bij een kritieke CVSS-score van 9 of hoger, zoals bij Kirki met 9,8 en Everest Forms Pro met 10, is elke dag uitstel een dag extra risico.
Herstel eerst de back-up die je vóór de update hebt gemaakt, zodat je site weer online is. Onderzoek daarna op een staging-omgeving
KeurigOnline zegtStaging-omgeving