Honderdduizenden WordPress-sites via lek in Forminator over te nemen

In dit artikel:

Een ernstige kwetsbaarheid (CVE-2025-6463) in de populaire WordPress-plug-in Forminator bedreigt de veiligheid van meer dan 600.000 websites wereldwijd. Deze plug-in, die wordt gebruikt voor het maken van diverse webformulieren zoals contactformulieren en betaalformulieren, maakt het mogelijk voor onbevoegde aanvallers om op afstand schadelijke code uit te voeren. Door het lek kunnen aanvallers zonder inloggegevens willekeurige bestanden op de server verwijderen, waaronder het cruciale wp-config.php-bestand. Dit laat de website in een zogenoemde "setup state" achter, waarna de aanvaller de site kan verbinden met een eigen database en volledige controle kan overnemen.

De ontwikkelaar van Forminator werd begin juni geïnformeerd en bracht op 30 juni een beveiligingsupdate uit. Ondanks deze snelle reactie hebben pas ongeveer 175.000 sites de patch geïnstalleerd, waardoor een aanzienlijk deel van de resterende 425.000 sites kwetsbaar blijft. Beveiligingsbedrijf Wordfence benadrukt het grote risico van deze kwetsbaarheid en spoort beheerders dringend aan de update direct toe te passen om volledige overname van hun sites te voorkomen. Het incident onderstreept het belang van tijdige updates en actief beheer van plug-ins binnen het WordPress-ecosysteem.