Beveiligingslek in gehackte Smart Slider 3 plugin besmet WordPress websites

door

Leestijd: 4 minuten

Een ernstig beveiligingsincident heeft duizenden WordPress-websites in gevaar gebracht. Cybercriminelen wisten de updateserver van de populaire WordPress-plugin Smart Slider 3 Pro te compromitteren en verspreidden via een officiële update een verborgen backdoor. Websites die de besmette versie installeerden, konden volledig worden overgenomen door aanvallers.

De ontwikkelaar van Smart Slider 3 Pro, Nextend, bevestigde dat onbevoegden toegang kregen tot hun update-infrastructuur. Via die gehackte server werd versie 3.5.1.35 van de plugin verspreid. Deze versie bevatte kwaadaardige code waarmee aanvallers op afstand controle konden krijgen over WordPress-sites.

Het incident is extra gevaarlijk omdat de malware via het officiële updatekanaal werd geleverd. Hierdoor vertrouwden websitebeheerders de update automatisch, terwijl deze in werkelijkheid een supply chain attack bevatte.

Waarom dit WordPress-lek zo gevaarlijk is

Normaal gesproken vertrouwen WordPress-beheerders op automatische updates om hun website veilig te houden. Bij dit incident werd juist dat vertrouwen misbruikt. De kwaadaardige update kon:

  • verborgen admin-accounts aanmaken
  • PHP-code op afstand uitvoeren
  • shell-commando’s uitvoeren op de server
  • malware installeren
  • bezoekers omleiden
  • spam of phishingpagina’s plaatsen
  • persistente backdoors achterlaten

Beveiligingsbedrijf Patchstack gaf het incident de maximale risicoscore van CVSS 10. Volgens onderzoekers is massale exploitatie zeer waarschijnlijk.

Welke versies zijn getroffen?

Volgens de officiële beveiligingsmelding geldt het volgende: versie 3.5.1.35 is onveilig. Alleen de Pro-versie van de plugin werd getroffen. De gratis versie bleef buiten schot.

Hoe herken je een geïnfecteerde WordPress-site?

Website-eigenaren moeten direct controleren of hun website versie 3.5.1.35 heeft gebruikt. Tekenen van besmetting zijn onder andere:

  • onbekende adminaccounts zoals wpsvc_ of wp_maint_
  • verdachte bestanden zoals cf_check.php
  • onbekende cronjobs
  • gewijzigde PHP-bestanden
  • redirects naar spam- of phishingwebsites
  • onverwachte serverbelasting

Ook wanneer de plugin inmiddels is bijgewerkt naar een veilige versie, kan de backdoor nog actief zijn. Een update verwijdert de malware namelijk niet automatisch.

Supply chain attacks vormen groeiend risico voor WordPress

Dit incident toont aan hoe kwetsbaar het WordPress-ecosysteem kan zijn. WordPress draait op miljoenen websites wereldwijd en plugins vormen vaak de grootste beveiligingsrisico’s. Onderzoek laat zien dat populaire plugins regelmatig doelwit zijn van aanvallen vanwege hun grote bereik.

Bij een supply chain attack wordt niet direct de website aangevallen, maar de softwareleverancier zelf. Daardoor kunnen hackers in één keer duizenden websites besmetten via vertrouwde updates.

Wat moet je doen als jouw WordPress-site kwetsbaar is?

Heb je Smart Slider 3 Pro gebruikt? Onderneem dan direct actie:

1. Controleer de pluginversie

Controleer of versie 3.5.1.35 ooit actief is geweest.

2. Update onmiddellijk

Installeer direct versie 3.5.1.36 of nieuwer.

3. Scan op malware

Voer een volledige malware- en bestandscontrole uit.

4. Verwijder verdachte gebruikers

Controleer alle administratoraccounts in WordPress.

5. Wijzig alle wachtwoorden

Reset:

  • WordPress-wachtwoorden
  • hostingaccounts
  • FTP/SFTP-accounts
  • databasewachtwoorden

6. Controleer serverlogs

Bekijk logs op verdachte activiteiten tijdens de besmettingsperiode.

7. Overweeg een volledige herstelbackup

Bij twijfel is herstellen vanaf een schone backup vaak de veiligste oplossing.

Hoe voorkom je WordPress-hacks in de toekomst?

Hoewel geen enkel systeem volledig veilig is, kun je de risico’s aanzienlijk beperken:

  • gebruik alleen betrouwbare premium plugins;
  • verwijder ongebruikte plugins en thema’s;
  • activeer tweefactorauthenticatie;
  • gebruik een Web Application Firewall (WAF);
  • maak dagelijkse back-ups;
  • monitor wijzigingen in bestanden;
  • beperk administratorrechten;
  • voer periodieke security-audits uit.

Daarnaast is managed WordPress-hosting met actieve malwaredetectie steeds belangrijker geworden voor zakelijke websites.

Conclusie

Het Smart Slider 3 Pro-incident laat zien dat zelfs officiële WordPress-updates een serieus beveiligingsrisico kunnen vormen wanneer leveranciers worden gehackt. Websites die de besmette update installeerden, moeten als mogelijk gecompromitteerd worden beschouwd.

Voor WordPress-beheerders is dit opnieuw een wake-upcall: beveiliging stopt niet bij het updaten van plugins. Continue monitoring, malwaredetectie en een professionele securitystrategie zijn essentieel om websites veilig te houden.

Bronnen: The Hacker News, arXiv, smartslider.helpscoutdocs.com, Ampcus Cyber, Patchstack

Auteur: Ingo Bouwmeester, Webddesign Specialist
Ingo is een ervaren webbouwer uit de omgeving van Enschede. Met zijn uitgebreide kennis over het ontwerpen en ontwikkelen van websites en webshops levert Ingo al decennialang de beste digitale oplossingen aan bedrijven in heel Nederland. PHP, JavaScript, HTML en CSS: geen programeertaal heeft nog geheimen voor hem. Ingo Bouwmeester is gespecialiseerd in het bouwen van professionele WordPress websites. Gebruiksvriendelijkheid en creativiteit staan hierbij op de eerste plaats.