Nieuws
image

NCSC roept beheerders op om Wordpress-sites te beveiligen tegen malware

donderdag 18 juni 2026, 15:12 door Redactie, 5 reacties

Het Nationaal Cyber Security Centrum (NCSC) roept beheerders en eigenaren van WordPress-sites op om hun website te beveiligen tegen malware. Aanleiding is een internationale politieoperatie tegen het SocGholish-botnet. Het botnet maakte gebruik van gestolen inloggegevens om WordPress-sites van malafide code te voorzien waarmee werd geprobeerd om bezoekers van de websites te infecteren. De malafide code laat bezoekers geloven dat ze een browser-update moeten installeren. In werkelijkheid gaat het om malware

"Daarom roepen we eigenaren van Wordpress-sites op om actie te ondernemen en bezoekers om alert te zijn op verdachte updates", aldus het NCSC. De politie liet eerder al weten dat het in Nederland de hackbevoegdheid heeft ingezet om besmette WordPress-sites op te schonen. Het NCSC meldt dat het eigenaren van gehackte WordPress-sites actief informeert. "Ben je beheerder van een WordPress website, en heb je geen notificatiemail ontvangen van het NCSC, raden we alsnog aan om met de genoemde adviezen aan de slag te gaan."

De overheidsinstantie geeft een reeks adviezen voor het beveiligen van WordPress-sites. Het gaat om het controleren of er admin-accounts zijn die beginnen met wp-maintenance- of wp-backup, het inschakelen van MFA, het beperken van toegang tot /wp-admin met IP-whitelisting, het beperken van het aantal admins, het gebruik van sterke wachtwoorden, het inschakelen van logging, het aanzetten van meldingen voor ongewone acties, het blokkeren van de uitvoer van php-bestanden in de uploads map, het up-to-date houden van WordPress, plug-ins en themes, het zorgen voor goede back-ups en monitoring. "Vermoed je misbruik? Zet de site tijdelijk in onderhoud, herstel bij voorkeur vanaf een schone back-up, breng het systeem up-to-date en verander alle wachtwoorden", gaat het advies verder.

Reacties (5)
Reageer met quote
18-06-2026, 18:19 door Anoniem
Ik mis een paar dingetjes.

Veel wordpress sites zijn redelijk statisch.
Heb je echter bijvoorbeeld betalende gebruikers, echt het absolute minimum van de nodige data opslaan.
Backups niet enkel op de server maken, maar liefst dagelijks even over halen naar thuis.

Ben je dan aan de beurt, direct je gebruikers melden, ook wàt er dan aan gegevens gepikt kunnen zijn.
Minstens één noodhosting aanhouden, alle plugins uit, enkel om je gebruikers te melden wat er aan de hand is.
Je backups zo snel mogelijk terug kunnen zetten. Dat ook eens of regelmatig getest hebben!
Zo snel mogelijk analyseren hoe men is binnengekomen en corrigeren.

En tot slot een goede malware scanner draaien, dagelijks. Op de hele server. Geen plugin dus. Heel de server doorspitten. Niks quarantaine, gewoon gelijk wissen. Werkt er dan een site niet meer, daar heb je je backups voor. En tegenwoordig ook veel AI die je kan bijstaan.

Waar relevant natuurlijk ook de AP melden. Maar altijd eerst zelf de brand blussen. En wel zo snel en eerlijk mogelijk.De AP lost niks voor je op. Het enige wat die kunnen is proberen boetes uit te delen. Eigen broek ophouden en zeker als je wordpress gebruikt want daar zit veel kaf onder het koren.
Reageer met quote
18-06-2026, 18:53 door Anoniem
Jep ook een melding gehad van results die uit 2024 kwamen met een eind datum en begin datum verschil van activiteit van 0 seconden. Ofwel mislukte pogingen die automatisch zijn afgewikkeld. Nog leuker de subdomeinen die bij ons naar voren kwamen waren voor het laatst actief in 2018 en toen als zone geheel verwijderd dus de informatie is ook nog eens mogelijk vele jaren ouder en uit een doorverkochte archief.

Des al nietemin zou ik het wel serieus nemen en iedergeval controleren.
Maar of ik nu echt denk dat er meerwaarde in zit voor partijen die de boel al beveiliging nee.
De adviezen zijn generiek een leek snapt het niet en een profesional weet het al.
Het zou helpen als er een gedegen site hardening guide bij zat maar helaas standaard industrie riedeltje.
Reageer met quote
19-06-2026, 12:49 door Drs Security en Privacy
wp-admin voledig whitelisten breekt wordpress, voornamelijk alles wat via AJAX calls werkt.
Daarnaast is het lastiger als je ook een klant portal erop wil hebben, mits dat allemaal via front-end pagina's geregeld kan worden.
Het is opzich een goed advies, maar vereist wel even wat meer dan slechts een whitelist aanmaken om alles werkbaar te houden.
Reageer met quote
19-06-2026, 15:51 door Anoniem
Ik vrees dat de meeste Wordpress beheerdes nog nooit gehoord hebben van NCSC en dit soort aankondigingen alleen maar zien als het toevallig in hun favoriete social media feed voorbijkomt op hun telefoon
Reageer met quote
21-06-2026, 11:53 door Anoniem
Scan uw WordPress-site dus hier: https://hackertarget.com/wordpress-security-scan/.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Vacature Digital Designer Certified Secure
Certified Secure GenAI Deep Dive Security Training