Nieuws
image

Honderdduizenden WordPress-sites via lek in Forminator over te nemen

woensdag 2 juli 2025, 10:36 door Redactie, 5 reacties

Een kwetsbaarheid in een veelgebruikte plug-in voor WordPress maakt remote code execution op honderdduizenden websites mogelijk, die zo volledig zijn over te nemen. Een update die het probleem verhelpt is beschikbaar, maar veel WordPress-sites hebben die nog niet geïnstalleerd. De kwetsbaarheid (CVE-2025-6463) bevindt zich in Forminator, een plug-in waarmee websites allerlei soorten webformulieren kunnen maken, zoals contactformulieren, polls, quizzen en betaalformulieren. De plug-in is op meer dan 600.000 websites actief.

Het beveiligingslek maakt het voor ongeauthenticeerde aanvallers mogelijk om willekeurige bestanden op de server te verwijderen, wat volgens securitybedrijf Wordfence tot remote code execution en het volledig overnemen van de site kan leiden. Een aanvaller kan namelijk het bestand wp-config.php verwijderen waardoor de website in een "setup state" terugvalt. Vervolgens kan een aanvaller de site verbinding laten maken met een eigen database en zo de website overnemen.

De ontwikkelaar van de plug-in werd op 25 juni over het probleem ingelicht en kwam op 30 juni met een update. Uit cijfers van WordPress.org blijkt dat zo'n 175.000 sites de patch hebben geïnstalleerd. Dat houdt in dat honderdduizenden websites risico lopen. Wordfence roept beheerders op om de update te installeren, omdat de kwetsbaarheid een "groot risico" voor websites vormt.

Reacties (5)
Reageer met quote
Gisteren, 12:06 door Anoniem
De zegen en vloek van WordPress: makkelijk functionaliteit uitbreiden met plug-ins, maar bij iedere nieuwe plug-in worden nieuwe aanvalsoppervlakken geïntroduceerd, met extra risico als je een onbekende plug-in van SuperDev1337 installeert omdat die net precies dat ene dingetje doet wat jij wilt.

Ik heb zelf ook een WordPress-site, maar heb echt geprobeerd het aantal plug-ins zo laag mogelijk te houden en enkel reputabele en simpele plug-ins te installeren, die ik ook altijd updatet. Maar zelfs dan...
Reageer met quote
Gisteren, 14:28 door Anoniem
Door Anoniem: De zegen en vloek van WordPress: makkelijk functionaliteit uitbreiden met plug-ins, maar bij iedere nieuwe plug-in worden nieuwe aanvalsoppervlakken geïntroduceerd, met extra risico als je een onbekende plug-in van SuperDev1337 installeert omdat die net precies dat ene dingetje doet wat jij wilt.

Ik heb zelf ook een WordPress-site, maar heb echt geprobeerd het aantal plug-ins zo laag mogelijk te houden en enkel reputabele en simpele plug-ins te installeren, die ik ook altijd updatet. Maar zelfs dan...

Niks meer of minder dan bij bv Android.
Reageer met quote
Gisteren, 14:39 door Anoniem
Door Anoniem: De zegen en vloek van WordPress: makkelijk functionaliteit uitbreiden met plug-ins, maar bij iedere nieuwe plug-in worden nieuwe aanvalsoppervlakken geïntroduceerd, met extra risico als je een onbekende plug-in van SuperDev1337 installeert omdat die net precies dat ene dingetje doet wat jij wilt.

Ik heb zelf ook een WordPress-site, maar heb echt geprobeerd het aantal plug-ins zo laag mogelijk te houden en enkel reputabele en simpele plug-ins te installeren, die ik ook altijd updatet. Maar zelfs dan...
Is natuurlijk het geval met bijna elk uitbreidbaar product. Als je patch beleid op orde hebt is er weinig reden tot zorg. Tegen zerodays heb je hopelijk andere exploit beveiliging die boven je CMS draait en patroon herkenning doet en als je meerdere omgevingen beheerd werk je met containers, jails, sandboxes zodat ongein geisoleerd is tot specifieke accounts.

Waar het mis gaat is luiheid van mensen. 30 juni en van de bekende 600K pas 175K die up to date zijn dat zegt genoeg over de gemiddelde OPSEC.

Als je geen tijd hebt voor handmatige controle dan zet auto updates aan. Zou ik zelf nooit doen zakelijk maar privé sure. Als je handmatig beleid voert dan zorg dat je alerts hebt op relevante CVE's We werken hier met een monitoring dashboard dus hoeven enkel een query te maken van welke plugin we zoeken krijgen een lijst van alle sites met de plugin welke versie wanneer gepatched is bijhorende changelog en dan is het kwestie van patch goedkeuren mocht deze nog niet doorgevoerd zijn.

Aangaande dit specifieke type aanval dat is peanuts om tegen te houden maak je wp-config.php immutable
Hoe vaak moet je wp-config.php aanpassen buiten groot onderhoud om of installatie van hele specifieke beveiliging plugins?
Reageer met quote
Gisteren, 21:46 door Anoniem
Scan uw WP-site hier: https://hackertarget.com/wordpress-security-scan/
Reageer met quote
Vandaag, 10:10 door Anoniem
Door Anoniem:
Door Anoniem: De zegen en vloek van WordPress: makkelijk functionaliteit uitbreiden met plug-ins, maar bij iedere nieuwe plug-in worden nieuwe aanvalsoppervlakken geïntroduceerd, met extra risico als je een onbekende plug-in van SuperDev1337 installeert omdat die net precies dat ene dingetje doet wat jij wilt.

Ik heb zelf ook een WordPress-site, maar heb echt geprobeerd het aantal plug-ins zo laag mogelijk te houden en enkel reputabele en simpele plug-ins te installeren, die ik ook altijd updatet. Maar zelfs dan...

Niks meer of minder dan bij bv Android.

Of elk anders OS? De zwakste schakel is uiteindelijk (bijna) altijd PEBKAC......
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure