De digitale etalage van duizenden bedrijven bleek deze week kwetsbaarder dan gedacht, want een kritisch lek in de Service Finder-keten van WordPress maakt het mogelijk om zonder wachtwoord elk account binnen te glippen. En daarmee in een beweging een hele site over te nemen; de kwetsbaarheid draagt het label CVE-2025-5947, krijgt een ernstscore van negen komma acht en trof alle versies tot en met zes punt nul van de meegeleverde Service Finder Bookings plugin. De oorzaak is het inlogproces vertrouwt een gebruikerscookie zonder strenge controle en laat via de functie service_finder_switch_back een niet-aangemelde bezoeker inloggen als eender welke gebruiker, inclusief een beheerder.
Dit is geen theoretisch probleem, zegt Avigdor, het Surinaamse cybersecurity bedrijf. Kort na de openbaarmaking begin Augustus zagen beveiligers een gestage stroom misbruikpogingen en eind september piekten die boven de vijftienhonderd aanvallen per dag. In totaal gaat het om ruim dertienduizend pogingen, gericht op sites die het beveiligingspatch nog niet hadden geïnstalleerd. De uitgever bracht op 17 Juli versie 6.1 uit waarin de fout is hersteld, maar het thema was jarenlang populair en meer dan zesduizend keer verkocht, waardoor het nog lang in omloop blijft en aanvallers dit soort openingen blijven testen.
De dreiging reikt verder dan een ongewenste login, want met beheerdersrechten kunnen aanvallers kwaadaardige code plaatsen die bezoekers omleidt naar valse betaalpagina’s of advertentienetwerken, verborgen achterdeuren installeren die na een schijnbaar herstel actief blijven en inhoud aanpassen om zoekmachines te manipuleren, waardoor reputatie en omzet tegelijk geraakt worden. Onafhankelijke databases en advisories bevestigen de aard van de fout en het pad naar mitigatie, telkens met dezelfde kern, update naar zes punt één of hoger en sluit het gat bij de bron.
Voor Suriname is dit belangrijk nieuws om te analyseren, want onze economie draait op veel WordPress sites die voor boekingen en webshops worden gebruikt en die vaak een thema met plugins uit een marketplace gebruiken; wie de site door derden laat beheren doet er goed aan om nu te controleren of het Service Finder-ecosysteem aanwezig is en of de update van juli effectief is doorgevoerd, want juist sites met beperkte beheeruren blijven het langst kwetsbaar. Een korte sanity-check helpt meer dan een lange verklaring, kijk of er onbekende beheerdersaccounts bestaan, controleer de logboeken op onverklaarbare inlogmomenten, roteer wachtwoorden en sessies. Zet ook waar mogelijk tweestapsverificatie aan en laat een web application firewall verdacht verkeer filteren, pas daarna heeft het zin om content of advertenties op te schonen zodat bezoekers en zoekmachines weer exact zien wat u wilt laten zien.
De lek werd in Juli gepatcht, in Augustus publiek gemaakt en in de daaropvolgende weken massaal misbruikt, dit is de reden waarom onderhoudsritme en inventarisatie van gebruikte thema’s en plugins net zo belangrijk zijn als het ontwerp van een mooie homepage; in een klein domein betekent dat vaker bijwerken met kleine stapjes in plaats van af en toe met grote sprongen, omdat veiligheid niet schreeuwt wanneer het goed gaat maar wel alles kost wanneer het misgaat.
