WordPress-sites aangevallen via kritieke kwetsbaarheid in Alone theme
WordPress-websites worden actief aangevallen via een kwetsbaarheid in het Alone theme, zo laat securitybedrijf Wordfence weten. Een beveiligingsupdate voor het probleem (CVE-2025-5394) is sinds 16 juni beschikbaar. Alone is een theme bedoeld voor goede doelen, NGO's, sociale organisaties en fundraising websites. Het gaat om een betaald theme dat volgens de ontwikkelaars op meer dan negenduizend websites actief is.
Het Alone theme bevat een functie voor het installeren van plug-ins. Een kwetsbaarheid in deze functie zorgt ervoor dat ongeauthenticeerde aanvallers zip-bestanden met webshells naar de webserver kunnen uploaden. Via deze webshell is vervolgens remote code execution mogelijk en kan de website volledig worden overgenomen, aldus de uitleg van Wordfence. De impact van de kwetsbaarheid (CVE-2025-5394) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Wordfence rapporteerde het probleem aan de ontwikkelaars, die op 16 juni met een update kwamen. Volgens het securitybedrijf maken aanvallers sinds 12 juli misbruik van de kwetsbaarheid. Op 14 juli maakte Wordfence details van het beveiligingslek openbaar. Beheerders worden opgeroepen om te updaten naar versie 7.8.5. Hoeveel WordPress-websites dat nog niet hebben gedaan is onbekend.
Het is natuurlijk goed dat beveiligingsbedrijven zoals Wordfence kwetsbaarheden opsporen en publiceren — dat is hun taak. Maar de toon van het artikel wekt weer de bekende sfeer van paniek en sensatie, zonder dat er ruimte is voor wat gezond verstand.
Ja, er zit een serieus lek in het Alone-theme, en ja, dat moet opgelost worden. Maar we hebben het hier over een betaald niche-thema dat op ongeveer negenduizend websites draait. Dat is in de WordPress-wereld, waarin miljoenen websites draaien, een relatief klein aandeel. Alsof de hele online wereld op springen staat.
Bovendien: dit is een kwetsbaarheid waarvoor al op 16 juni een patch is uitgebracht. Wie nu – op 30 juli – nog niet heeft geüpdatet, is óf niet technisch onderlegd, óf onverschillig over de staat van hun website. En daar zit precies het probleem: het grootste risico is niet de kwetsbaarheid zelf, maar de laksheid van beheerders die updates negeren.
Ook de timing is opvallend: Wordfence maakte op 14 juli de details openbaar, twee weken nadat de patch uit was. Dat is netjes. Maar dan duurt het blijkbaar maar twee dagen voordat de aanvallen beginnen? Dat betekent dus dat kwaadwillenden óók gewoon lezen wat er online staat en vervolgens misbruik maken van mensen die hun updates niet op orde hebben. Het zegt vooral iets over hoe belangrijk het is om gewoon je onderhoud te doen.
Dus nee, dit is geen reden tot paniek. Dit is een reden om je software up-to-date te houden. Niet pas als het in het nieuws komt, maar altijd. Dat is geen “cybersecurity magic”, dat is gewoon normaal beheer. En als je als organisatie te weinig kennis of capaciteit hebt om dat goed te doen, moet je je afvragen of je überhaupt je communicatie via een eigen website moet willen voeren.
Er is een kwetsbaarheid, er is een patch, en er is luiheid. Alleen dat laatste vormt een structureel probleem.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?