Half miljoen WordPress-sites missen update voor kritiek RCE-lek in plug-in
Ruim een half miljoen WordPress-sites missen een belangrijke beveiligingsupdate voor een kritieke kwetsbaarheid in een plug-in, die remote code execution (RCE) door ongeauthenticeerde aanvallers mogelijk maakt. Het probleem speelt in de WPvivid Backup & Migration Plugin, die op meer 900.000 websites is geïnstalleerd. De ontwikkelaars kwamen op 28 januari met een update, maar twee weken later is de patch pas door zo'n 350.000 WordPress-sites geïnstalleerd, wat inhoudt dat 550.000 sites risico lopen.
WPvivid Backup & Migration Plugin is een plug-in voor het back-uppen, migreren en stagen van WordPress-sites. Een probleem met het decryptieproces gecombineerd met een gebrek aan 'path sanitization' maakt het mogelijk voor ongeauthenticeerde aanvallers om willekeurige PHP-bestanden naar publiek toegankelijke directories te uploaden, wat uiteindelijk leidt tot remote code execution, zo laat securitybedrijf Wordfence weten.
De impact van de kwetsbaarheid (CVE-2026-1357) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Hierbij moet worden opgemerkt dat websites alleen risico lopen als ze een key in de instellingen van de plug-in hebben gegenereerd, waardoor een andere site back-ups naar hen kan sturen. Deze feature staat standaard uitgeschakeld en gegenereerde keys verlopen na 24 uur.
Wordfence informeerde de ontwikkelaars van de plug-in op 22 januari over het probleem. Die kwamen op 28 januari met versie 0.9.124 waarin de kwetsbaarheid is verholpen. Sindsdien is deze patch door zo'n 350.000 van de meer dan 900.000 sites met de plug-in geïnstalleerd, zo blijkt uit cijfers van WordPress.org.
Dan haal ik elke dag voor de zekerheid de laatste backups naar huis. Net gedaan en op de 10Gb lijn duurt dat maximaal een kwartiertje. Backups herstel ook uitgebreid getest, met een uurtje heb ik 30 sites weer in de lucht. Niet slecht voor een huisman met een hobby.
Plugins voor WP om te backuppen en te migreren is wat mij betreft allemaal rommel. Het zijn eenvoudige klusjes die je zelf moet kunnen. Net als afwassen, vervelend, maar moeilijk is het niet.
Dan haal ik elke dag voor de zekerheid de laatste backups naar huis. Net gedaan en op de 10Gb lijn duurt dat maximaal een kwartiertje. Backups herstel ook uitgebreid getest, met een uurtje heb ik 30 sites weer in de lucht. Niet slecht voor een huisman met een hobby.
Plugins voor WP om te backuppen en te migreren is wat mij betreft allemaal rommel. Het zijn eenvoudige klusjes die je zelf moet kunnen. Net als afwassen, vervelend, maar moeilijk is het niet.
Andere veel gebruikte use case is het migreren van een site waarbij de server inlog ontbreekt of complicaties geeft met rechtstreekse export.
Als primaire backup is het niet slim maar als secundair of tertiaire prima. *Mits je de boel up to date houdt*
Wij leren onze klanten zelf te werken met duplicator omdat de gratis versie het niet toelaat aan ze zelf de backup terug te zetten enkel het aan te maken. Zodoende weten we altijd waar en door wie een site stuk is gegaan. We hebben in de eigen backups dan weer een exclude staan op het duplicator pad.
Maken zelf om de dag een incremental en we hebben om het uur server snapshots. Eerste laag is user level staat enkel site restore toe tweede is server account met per file restore mogelijkheid en de snapshots zijn voor disaster control of rollback van server config zodat we op zijn max een uur kwijt zijn aan data in geval de boel echt in hens staat.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Manager IT/OT
Als Information Security Manager IT/OT zorg jij ervoor dat informatiebeveiliging binnen onze IT- en OT-omgevingen niet alleen op papier klopt, maar aantoonbaar werkt in de uitvoering. Je richt je op het veilig en betrouwbaar functioneren van operationele processen en draagt bij aan een volwassen, risicogestuurde be-veiliging van onze vitale infrastructuur.
Security Analist IT/OT
Als Security Analist IT/OT draag jij bij aan het verder professionaliseren van onze digitale weerbaarheid. Je bewaakt da-gelijks de veiligheid van onze IT- en OT-omgevingen en zorgt ervoor dat risico’s tijdig worden gesignaleerd en opgevolgd. Zo help je mee om vitale processen rondom water en onze kantoorauto-matisering betrouwbaar en veilig te laten functioneren.
Security Architect IT/OT
Als Security Architect IT/OT geef jij richting aan de technische en architec-tonische inrichting van veilige IT- en OT-omgevingen. Je vertaalt bestaand beleid en wet- en regelgeving naar concrete, uitvoerbare ontwerpprincipes en bewaakt de samenhang tussen techniek, organi-satie en risico’s.
