WordPress-sites aangevallen via kritieke kwetsbaarheid in Alone theme

In dit artikel:

Het beveiligingsbedrijf Wordfence waarschuwt voor actieve aanvallen op WordPress-websites via een ernstige kwetsbaarheid in het betaalde Alone theme, dat vooral wordt gebruikt door goede doelen, NGO’s en sociale initiatieven. Dit theme, dat op meer dan negenduizend sites draait, heeft een lek in de plugin-installatiefunctie waardoor kwaadwillenden zonder inloggegevens kwaadaardige zip-bestanden met webshells kunnen uploaden. Hierdoor kunnen zij op afstand code uitvoeren en volledige controle over de website verkrijgen. De kwetsbaarheid (CVE-2025-5394) kreeg een hoge ernstscore van 9,8 op 10.

Na melding aan de ontwikkelaars bracht het thema op 16 juni een beveiligingsupdate uit (versie 7.8.5) die dit lek dicht. Ondanks de patch werd vanaf 12 juli al misbruik gemeld en op 14 juli maakte Wordfence het probleem publiek bekend. Websitebeheerders worden dringend aangeraden de update direct te installeren om overname van hun sites te voorkomen. Het is onbekend hoeveel van de getroffen WordPress-sites dit nog niet hebben gedaan, waardoor het risico aanhoudt. Deze situatie benadrukt het belang van tijdige updates bij beveiligingsproblemen binnen veelgebruikte thema’s.