Wordpress: huidige beveiligingslekken juli 2025

door Reading time: 2 minutes
WordPress Agentur JoeWP - Aktuelle WordPress-Schwachstellen

Wordpress: huidige beveiligingslekken juli 2025

In juli 2025 werden verschillende kritieke kwetsbaarheden in WordPress-plug-ins en -thema’s bekend die van invloed kunnen zijn op tal van websites:

1. HT Contact Form Plugin (meer dan 10.000 getroffen websites)

  • Zwakke plekken: Uploaden, verwijderen en verplaatsen van bestanden mogelijk zonder authenticatie (CVSS tot 9.8).
  • Gevaar: Aanvallers kunnen willekeurige bestanden uploaden, waaronder PHP-malware, of kritieke bestanden zoals wp-config.php PHP-malware verwijderen. Dit maakt de volledige overname van de website mogelijk.
  • Update: Patch uitgebracht op 13 juli 2025 → update naar versie 2.2.2 sterk aanbevolen.

2. Post SMTP-plug-in (meer dan 400.000 installaties)

  • Kwetsbaarheid: Onjuiste toegangsrechten (CVE-2025-24000): Elke geregistreerde gebruiker kan e-maillogboeken bekijken, inclusief e-mails voor het opnieuw instellen van wachtwoorden, en zo beheerdersaccounts overnemen.
  • Gevaar: Volledige controle over de WordPress site mogelijk.
  • Verwijdering: Patch met versie 3.3.0 op 11 juni 2025 → minimaal versie 3.3.0 installeren.

3. Thema motoren

  • Kwetsbaarheid: Onvoldoende gebruikersvalidatie maakt escalatie van bevoegdheden mogelijk (CVE-2025-4322).
  • Gevaar: Aanvallers kunnen beheerderswachtwoorden wijzigen en volledige toegang krijgen zonder authenticatie.
  • Oplossing: Patch met versie 5.6.68 (vanaf 12 juni 2025). Beheerders moeten indien nodig ongebruikelijke activiteit en onbekende accounts controleren en een thema-update uitvoeren.

4. Einde van de ondersteuning voor WordPress versies 4.1 tot 4.6

  • Sinds juli 2025 ontvangen deze oude kernversies geen beveiligingsupdates meer. Operators moeten zeker updaten naar een actuele versie om bescherming te behouden tegen nieuwe kwetsbaarheden.

5. Andere kritieke kwetsbaarheden (selectie, volgens Vulnerability Report juli 2025)

  • Ondersteuningskaart (plug-in): Willekeurige verwijdering van bestanden – update naar versie 3.8.1 vereist.
  • WP-bestand downloaden: Cross Site Scripting (XSS) – Patch beschikbaar vanaf versie 6.2.6.
  • Echt eenvoudige beveiliging: Overname door beheerders mogelijk – update naar minimaal versie 9.1.2 vereist.

Aanbevelingen voor actie voor juli 2025

  • Plugins, thema’s en de WordPress-kern kunnen direct worden bijgewerkt naar de nieuwste versies.
  • Vooral bij populaire plugins zoals HT Contact Form, Post SMTP, Support Board, Motors en Really Simple Security, let op changelogs en beveiligingswaarschuwingen.
  • Verwijder WordPress-versies (ouder dan 4.6) die niet meer worden ondersteund of migreer ze naar een huidige versie.
  • Gebruik regelmatig beveiligingsscanners en bewakingstools om verdachte activiteiten en ongeautoriseerde accounts te detecteren.

De huidige dreigingen betreffen vooral beveiligingslekken in veelgebruikte plugins. Operators moeten altijd de nieuwste updates installeren en ervoor zorgen dat plug-ins/thema’s afkomstig zijn van vertrouwde bronnen om de bescherming van hun site te garanderen.

WordPress Agency JoeWP - Onderhoud & Beveiliging
JoeWP WordPress Bureau – WordPress

Wil je ons de opdracht geven om beveiligingslekken en kwetsbaarheden op je WordPress website te verhelpen?

Vraag noodhulp aan!
Wordpress Agentur JoeWP - WordPress Website erstellen lassen
WooCommerce Agentur JoeWP
Wordpress Agentur JoeWP - Website Entwicklung Development
WordPress Agentur JoeWP - Klimaneutrales Hosting
WordPress Agentur JoeWP - Webdesign aus Deutschland - Made in Germany