WordPress drijft bijna de helft van het web aan, waardoor het het meest gerichte platform op het internet is. In 2025 veranderde het dreigingslandschap op manieren die de meeste conventionele beveiligingsstrategieën onvoldoende maakten. Het aantal kwetsbaarheden steeg sterk, de exploitatietijdlijnen zakten in tot uren, en aanvallers gebruikten steeds geavanceerdere malware die ontworpen was om opruimpogingen te overleven.
Dit overzicht maakt gebruik van beveiligingsgegevens uit 2025 om WordPress- en WooCommerce-site-eigenaren te helpen de echte risico's van hun sites te begrijpen en de praktische stappen die ze kunnen nemen om de gaten te dichten.
Beveiligingsonderzoekers identificeerden in 2025 11.334 nieuwe kwetsbaarheden in het WordPress-ecosysteem, een stijging van 42% ten opzichte van het voorgaande jaar. Daarvan waren 4.124 ernstig genoeg om actieve mitigatie te vereisen, en 1.966 hadden een hoge ernstbeoordeling, wat wijst op een sterke kans op massaal geautomatiseerd misbruik.
Om dat in perspectief te plaatsen: in 2025 werden er meer kwetsbaarheden met hoge ernst ontdekt in WordPress dan in de voorgaande twee jaar samen. Dit is geen geleidelijke trend. Het betekent een betekenisvolle versnelling in de aandacht van aanvallers richting het WordPress-ecosysteem.
Plugins waren verantwoordelijk voor 91% van alle nieuw gerapporteerde kwetsbaarheden. Thema's vormden de resterende 9%. De WordPress-kern zelf rapporteerde slechts zes problemen, allemaal met lage prioriteit.
Die distributie versterkt een eenvoudige realiteit: de kernsoftware is niet het probleem. Het risico zit in de componenten van derden die erop liggen, en de meeste WordPress-sites draaien er tientallen van.
Nee. Premiumcomponenten vormen vaak een gevaarlijkere blinde vlek dan hun gratis tegenhangers.
Beveiligingsonderzoekers voerden een gerichte analyse uit van premium marktplaatscomponenten, waaronder die via Envato worden verspreid. De bevindingen waren significant:
De reden is niet dat premium plugins slordiger worden gebouwd. Dit komt doordat beveiligingsonderzoekers beperkte toegang hebben tot betaalde software, waardoor minder ogen de code beoordelen. Minder controle betekent niet dat er minder risico is. Het betekent een lager bewustzijn van bestaand risico.
Slechts 54%. In 2025 was 46% van de gerapporteerde kwetsbaarheden niet opgelost door de pluginontwikkelaar vóór de publieke bekendmaking. Dat betekent dat kwetsbaarheidsdetails openbaar werden en in veel gevallen direct beschikbaar waren voor aanvallers voordat patches beschikbaar waren voor site-eigenaren.
Vertrouwen op plugin-updates als primaire beveiligingsmaatregel is over het algemeen onvoldoende, aangezien bijna de helft van de geopenbaarde kwetsbaarheden geen patch beschikbaar heeft.
Sneller dan de meeste updateschema's toestaan. Voor de meest gerichte kwetsbaarheden was de gewogen mediane tijd van publieke bekendmaking tot actieve exploitatie vijf uur.
Ongeveer de helft van alle kwetsbaarheden met hoge impact werd binnen 24 uur na openbaarmaking uitgebuit. Dit venster dekt een periode waarin de meeste sitebeheerders zich niet bewust zijn van het probleem of nog niet de kans hebben gehad om een beschikbare patch toe te passen.
De eerste 24 uur na een kwetsbaarheidsmelding vormen doorgaans het grootste risicovenster voor een WordPress-site. Zonder geautomatiseerde mitigatie worden de meeste locaties precies in deze periode blootgesteld.
Broken Access Control stond in 2025 bovenaan de lijst van categorieën voor misbruikte kwetsbaarheid. Deze categorie is bijzonder moeilijk te verdedigen omdat de aanvallen normaal geauthenticeerd gebruikersgedrag nabootsen. Er zijn geen duidelijke injectiestrings of misvormde verzoeken die een traditionele webapplicatiefirewall moet vangen.
Andere zwaar benutte kwetsbaarheidsklassen waren onder andere:
WooCommerce-gerelateerde plugins verschenen in de top tien meest getargete lijst, waaronder een WooCommerce Payments-privilege-escalatiekwetsbaarheid uit 2023 die nog steeds actief werd gericht op niet-gepatchte installaties.
Niet effectief genoeg. Penetratietests uitgevoerd bij meerdere hostingproviders in 2025 toonden aan dat standaard defensieve configuraties, waaronder interne WAF's en Cloudflare, slechts 26% van de pogingen tot WordPress-kwetsbaarheidsexploit blokkeerden. Specifiek daalde het blokpercentage tegen bekende exploitated kwetsbaarheden tot 12%.
De prestaties varieerden aanzienlijk tussen hostingomgevingen, grotendeels door de configuratie van interne WAF-regels. Generieke WAF-regels presteren redelijk goed tegen niet-WordPress-specifieke aanvallen, maar zijn slecht afgestemd op WordPress-specifieke kwetsbaarheidsklassen, die verantwoordelijk zijn voor de meeste exploitatieactiviteiten in de echte wereld.
Het gedrag na compromisen in 2025 werd verfijnder en moeilijker te corrigeren. Analyse van miljarden malware-infecties in de wereldwijde hostinginfrastructuur toonde duidelijke verschuivingen aan in hoe aanvallers opereren zodra ze toegang krijgen tot een site.
Aanvallers geven steeds vaker de voorkeur aan geïnjecteerde bestanden boven op zichzelf staande kwaadaardige bestanden. Een geïnjecteerd bestand is een legitiem WordPress-kernbestand, pluginbestand of themabestand dat is aangepast om kwaadaardige code te bevatten. Omdat het basisbestand legitiem is, markeren verwijderingsgebaseerde scantools het inconsistent of missen ze het volledig.
Het verwijderen van geïnjecteerde malware vereist het identificeren en chirurgisch schoonmaken van het kwaadaardige fragment van een verder geldig bestand. Het verwijderen van het bestand zelf breekt de site. Dit onderscheid dwingt een betekenisvolle verschuiving af in hoe remediatietools moeten functioneren.
Ja. De kwaadaardige uploadactiviteit van bestanden is bijna verdrievoudigd in november en december 2025. Deze toename is geen toeval. Q4 combineert piekverkeer met minder IT-personeel, waardoor aanvallers met minder directe detectie of reactie kunnen opereren. WooCommerce-winkeleigenaren die actieve feestdagenpromoties draaien, opereren in het meest risicovolle venster van het jaar, vaak met de minste interne middelen om te reageren.
De meest voorkomende malwarecampagnes deelden een gemeenschappelijk ontwerpdoel: detectie zo lang mogelijk vermijden. Drie ontwijkingspatronen waren bijzonder wijdverspreid.
Selectieve contentlevering
Campagnes, waaronder Japanse SEO-spam, jgalls en Parrot TDS, serveren verschillende content afhankelijk van wie het verzoek indient. Zoekmachinecrawlers ontvangen met zoekwoorden gevulde spam om ranglijsten te manipuleren. Menselijke bezoekers worden doorgestuurd naar phishingpagina's of frauduleuze winkels. Site-eigenaren en scanners zien doorgaans schone inhoud. De infectie blijft onzichtbaar totdat klanten beginnen te klagen of het organische zoekverkeer instort.
Parrot TDS breidde deze techniek in 2025 verder uit door AI-trainingscrawlers te detecteren, waaronder die van OpenAI en Google. Schone content wordt aan crawlers geleverd, terwijl kwaadaardige redirects menselijke bezoekers blijven doorleiden, waardoor detectie via geautomatiseerde audits nog minder betrouwbaar wordt.
Geheugen-residente persistentie
De Lock360-malwarefamilie voert kwaadaardige code direct uit in het servergeheugen in plaats van deze op te slaan in bestanden. Wanneer een beheerder een geïnfecteerd bestand, zoals index.php of .htaccess, opschoont, herschrijft het geheugenresident proces onmiddellijk de kwaadaardige code terug in het bestand. Supportteams bevinden zich vaak in een continue cyclus van opruimen en herinfectie totdat het onderliggende geheugenproces wordt beëindigd, iets waar de meeste standaard scantools niet voor geschikt zijn.
Uitbreiding van uploaderinfrastructuur
De uploader-scriptactiviteit verdubbelde bijna in volume in juni 2025 en bleef hoog tot het einde van het jaar. Uploaders zijn tools waarmee aanvallers naar wens extra payloads op een gecompromitteerde site kunnen uitbrengen. Hun aanhoudende toename duidt op een strategische verschuiving naar persistente toegang in plaats van eenmalige exploitatie. Een site die van één infectie is gezuiverd, kan opnieuw worden geïnfecteerd via een slapende uploader die de schoonmaak heeft overleefd.
Verschillende trends komen samen om te maken WordPress-beveiliging complexer, niet minder.
AI-ondersteunde ontwikkeling versnelt de productie van aangepaste plugins. Bureaus genereren plugin-functionaliteit op aanvraag en implementeren AI-gegenereerde frontends die met React zijn gebouwd, terwijl ze WordPress als backend CMS gebruiken. Dit vergroot het aanvalsoppervlak ver buiten het traditionele bereik van core, plugins en thema's. Aangepast gecodeerde componenten, JavaScript-pakketten en PHP-afhankelijkheden brengen allemaal beveiligingsblootstelling met zich mee die standaard WordPress-scantools niet zijn ontworpen om te evalueren.
Tegelijkertijd verlaagt AI de drempel voor aanvallers om autonoom kwetsbaarheden te ontdekken en te benutten. Dezelfde tools die worden gebruikt om sites sneller te bouwen, worden ook gebruikt om zwakke plekken te vinden en te benutten.
Aan de regelgevende kant dringt de EU Cyber Resilience Act ertoe aan commerciële WordPress-pluginleveranciers om formele kwetsbaarheidsverklaringsprogramma's op te zetten als wettelijke vereiste voor het distribueren van software aan Europese gebruikers. De meeste pluginontwikkelaars beschikken momenteel niet over de interne middelen om grote volumes binnenkomende beveiligingsrapporten te beheren. Deze kloof zal wrijving creëren tussen kwetsbaarheidsidentificatie en de beschikbaarheid van patches, een periode die al aanzienlijke risico's met zich meebrengt op basis van exploitatiegegevens van 2025.
De gegevens van 2025 maken verschillende dingen duidelijk voor iedereen die een WooCommerce-winkel runt.
De basisprincipes van WordPress-beveiliging zijn niet veranderd: houd software up-to-date, beperk plugin-uitbreiding en gebruik sterke inloggegevens. Wat veranderd is, is dat deze maatregelen op zichzelf niet langer voldoende zijn.
Exploitatietijdlijnen zijn samengeperst tot uren. Malware is ontworpen om standaard schoonmaak te overleven. Premium plugins brengen verborgen risico's met zich mee. En het aanvalsoppervlak van een typische WordPress-site breidt zich uit naarmate AI-gegenereerde componenten de stack binnenkomen.
Effectieve WordPress-beveiliging in 2026 vereist geautomatiseerde kwetsbaarheidsmitigatie die binnen de eerste uren na openbaarmaking wordt geactiveerd, server-niveau malwaredetectie die geïnjecteerde code en geheugenresidente bedreigingen kan identificeren, en duidelijke zichtbaarheid van elk onderdeel dat op de site draait, of het nu via het adminpaneel is geïnstalleerd of gegenereerd via aangepaste ontwikkeling.
Sites die beveiliging als een proactief, continu proces behandelen, zijn aanzienlijk beter gepositioneerd dan sites die afhankelijk zijn van periodieke schoonmaakacties nadat er iets misgaat.
