Meerdere kritieke WordPress-pluginkwetsbaarheden (CVE-2026-1743, CVE-2026-1891, CVE-2026-2034) stellen meer dan 8 miljoen websites bloot aan remote code-uitvoering. NIS2-gereguleerde bedrijven moeten binnen 24 uur melden — hier is uw actieplan.
Een kritieke niet-geauthenticeerde remote code execution kwetsbaarheid in WP Advanced Forms (versies < 3.4.2) stelt aanvallers in staat willekeurige PHP-code uit te voeren. Meer dan 3 miljoen actieve installaties getroffen.
Een SQL-injectiefout in ElementorPro Widgets (versies < 4.1.7) maakt volledige database-extractie mogelijk. 2,8 miljoen sites in gevaar.
Een authenticatie-bypass in WooCommerce Payments Gateway (versies < 6.9.3) maakt escalatie naar beheerdersrechten mogelijk. 2,5 miljoen webshops potentieel getroffen.
| CVE | Plugin | CVSS | Actieve installaties | Gepatchte versie |
|---|---|---|---|---|
| CVE-2026-1743 | WP Advanced Forms | 9.8 | 3,1M | 3.4.2 |
| CVE-2026-1891 | ElementorPro Widgets | 9.1 | 2,8M | 4.1.7 |
| CVE-2026-2034 | WooCommerce Payments | 9.4 | 2,5M | 6.9.3 |
Samen treffen deze kwetsbaarheden meer dan 8 miljoen WordPress-installaties wereldwijd.
Onder de EU NIS2-richtlijn (Richtlijn 2022/2555) staan organisaties die als essentiële of belangrijke entiteiten zijn geclassificeerd voor strenge verplichtingen:
Artikel 23 van NIS2 vereist een vroegtijdige waarschuwing binnen 24 uur.
Een volledige incidentmelding moet worden ingediend bij het nationale CSIRT binnen 72 uur.
wp plugin list --status=active uit op alle WordPress-instantiesOntvang realtime kwetsbaarheidsmeldingen, NIS2-nalevingsmonitoring en dagelijkse beveiligingsbriefings.
Gratis proefperiode starten →Blijf waakzaam. — Het KENSAI-beveiligingsteam