Meer dan 900.000 WordPress-websites lopen risico door een ernstig lek in de WPvivid Backup & Migration plugin. Is jouw website ook kwetsbaar?
Wat is er aan de hand?
Beveiligingsonderzoekers hebben een gevaarlijke kwetsbaarheid ontdekt in de WPvivid Backup & Migration plugin voor WordPress. Deze plugin wordt gebruikt door meer dan 900.000 websites wereldwijd om back-ups te maken en websites te verhuizen naar een andere hostingomgeving.
De kwetsbaarheid — officieel bekend als CVE-2026-1357 — heeft een ernstigheidsscore van 9,8 op 10 gekregen. Dat is zo goed als het maximale. Een aanvaller zonder enige toegang tot jouw website kan misbruik maken van dit lek om kwaadaardige bestanden te uploaden en zo volledige controle over jouw website te krijgen.
Hoe werkt het lek precies?
Je hoeft geen technisch expert te zijn om de essentie te begrijpen: de plugin heeft twee fouten tegelijk.
Ten eerste gaat er iets mis met hoe de plugin sleutels en wachtwoorden versleutelt. Als een bepaalde stap in dat proces misloopt, stopt de plugin niet — maar gaat gewoon verder met een voorspelbaar “nep-sleuteltje”. Een aanvaller die dit weet, kan daarvan gebruikmaken om nep-bestanden te sturen die de plugin als legitiem beschouwt.
Ten tweede controleert de plugin de bestandsnamen van geüploade bestanden niet goed. Daardoor kan een aanvaller bestanden buiten de beveiligde map plaatsen — inclusief kwaadaardige PHP-bestanden waarmee de website van binnenuit overgenomen kan worden.
Ben jij kwetsbaar?
Niet elke gebruiker van de plugin loopt hetzelfde risico. Je bent alleen kritiek kwetsbaar als je de optie “ontvang back-up van een andere website” hebt ingeschakeld. Dit is standaard uitgeschakeld, maar veel websitebeheerders zetten dit aan wanneer ze een website verhuizen van de ene naar de andere hostingomgeving.
Bovendien heeft een aanvaller een tijdvenster van slechts 24 uur om misbruik te maken, omdat de sleutel die nodig is voor de aanval na een dag verloopt. Toch is dit geen reden om achterover te leunen: wie de plugin regelmatig gebruikt voor migraties, heeft dit venster herhaaldelijk openstaan.
Wat moet je doen?
Het advies is duidelijk: update de WPvivid plugin onmiddellijk naar versie 0.9.124 of hoger.
Deze update werd op 28 januari uitgebracht en bevat drie concrete verbeteringen:
- De plugin stopt nu correct wanneer de versleuteling mislukt, in plaats van verder te gaan met een onveilige sleutel.
- Bestandsnamen worden nu goed gecontroleerd, zodat aanvallers geen bestanden buiten de veilige map kunnen plaatsen.
- Alleen toegestane bestandstypen worden nog geaccepteerd (zoals ZIP, GZ, TAR en SQL).
Tijdlijn op een rijtje
| Datum | Wat gebeurde er? |
|---|---|
| 12 januari | Onderzoeker Lucas Montes (NiRoX) ontdekt het lek en meldt het |
| 22 januari | Beveiligingsbedrijf Defiant informeert de ontwikkelaar WPVividPlugins |
| 28 januari | Versie 0.9.124 met de oplossing wordt uitgebracht |
Conclusie
Dit is een serieuze kwetsbaarheid die je niet mag negeren. De kans op misbruik is reëel, zeker als je de plugin gebruikt voor websitemigraties. Controleer vandaag nog welke versie van WPvivid jij gebruikt en update indien nodig.
Heb je hulp nodig bij het beveiligen van jouw WordPress-website of wil je weten of jouw website kwetsbaar is? Neem contact op met Kyzoe — we helpen je graag verder.
Bron: Defiant / Wordfence Security Research
