WordPress in de zorg: het grootste lek dat niemand wil zien

Simon team

Simon

23/04/2026

6 minuten leestijd

wajo_security_wordpress

Duizenden zorginstellingen draaien op WordPress. Maar elke plugin is een potentiële inbraakdeur  en hackers weten dat maar al te goed.

April 2026: het meest verraderlijke aanval tot nu toe

In april 2026 onthulde TechCrunch een nieuwe en bijzonder verontrustende aanvalsvorm: iemand had opzettelijk achterdeurtjes (backdoors) ingebouwd in tientallen WordPress-plugins die samen op tienduizenden websites draaien. Geen kwetsbaarheid door slordigheid  maar een gerichte, geplande sabotage.

HOE HET WERKTE  SUPPLY CHAIN AANVAL OP ESSENTIAL PLUGIN


1.  Iemand kocht vorig jaar het bedrijf Essential Plugin  legitiem, via een openbaar platform (Flippa).

2.  De nieuwe eigenaar voegde een verborgen backdoor toe aan de broncode van alle plugins.

3.  De backdoor bleef maandenlang slapend  onzichtbaar voor beveiligingsscanners.

4.  Begin april 2026 activeerde de backdoor en begon kwaadaardige code te injecteren in élke website met de plugins geïnstalleerd.

5.  Getroffen: 400.000+ plugin-installaties, 15.000+ klanten, 20.000+ actieve websites.


KERNCIJFERS

11.334

nieuwe in WordPress in 2025/26
(+42% vs 2024)

91%

via plugins & themes  niet via de kern

46%

van WP-beheerders heeft ooit een volledige breach gehad

5 uur

gemiddeld tot hackers beginnen scannen na patch-publicatie


Waarom zorginstellingen zo aantrekkelijk zijn voor hackers

Geen sector ter wereld verwerkt zoveel gevoelige persoonlijke gegevens als de gezondheidszorg. Patiëntendossiers, diagnoses, verzekeringsgegevens  een compleet medisch dossier brengt op de zwarte markt tussen de 50 en 500 dollar op. Ter vergelijking: een gestolen creditcardnummer levert amper één dollar op.

De Autoriteit Persoonsgegevens bevestigt dit beeld jaar na jaar: de zorg staat structureel in de top van sectoren met de meeste datalekken. En met de recente ransomware-aanval op ChipSoft (april 2026)  waarbij ruim 70% van de Nederlandse ziekenhuizen geraakt werd in hun elektronisch patiëntendossier-systeem  is de urgentie niet langer abstract.

"Zodra data op straat ligt, krijg je het nooit meer volledig terug onder controle."

Ransomware-aanvallers werken inmiddels als professionele organisaties met een complete toeleveringsketen: initial access brokers, ransomware-developers en onderhandelingsteams. Ze kopen toegang tot slecht beveiligde systemen en verkopen die door aan de feitelijke aanvallers.


WordPress-plugins: het grootste lek ooit

In 2024 werden al 7.966 nieuwe kwetsbaarheden ontdekt in het WordPress-ecosysteem 34% meer dan in 2023. In 2025 steeg dat nog eens met 42% naar 11.334 kwetsbaarheden het hoogste aantal ooit gemeten, en meer dan in de twee voorgaande jaren samen.

Daarvan zat 91% in plugins. Bijzonder verontrustend: bij 46% van die kwetsbaarheden bestond er op het moment van publicatie nog géén patch. Updaten alleen is dus niet genoeg. Zodra een kwetsbaarheid publiek wordt, beginnen geautomatiseerde scanners binnen 5 uur met het zoeken naar ongepatchte sites. Tegen de tijd dat een beheerder de update doorvoert, is de schade vaak al aangericht.

De meest misbruikte lekken van Q1 2025

Plugin

Kwetsbaarheid

Installaties

WordPress Automatic Plugin (CVE-2024-27956)

SQL-injection zonder authenticatie. 6.500+ aanvalspogingen geblokkeerd in Q1 2025.

40.000+

Bricks Theme (CVE-2024-25600)

Remote code execution. Elke bezoeker kon PHP-code uitvoeren op de server.

30.000+

GiveWP (CVE-2024-8353)

PHP object injection via donatieparameters. Volledige overname van de website mogelijk.

100.000+

File Manager Plugin

Willekeurige PHP-bestanden uploaden zonder authenticatie. Volledige server-toegang.

700.000+


"92% van alle succesvolle WordPress-inbraken in 2025 begon via een plugin of theme  niet via de WordPress-kern."

Wat dit extra gevaarlijk maakt: zodra een kwetsbaarheid publiek wordt, beginnen geautomatiseerde scanners binnen 4 uur met het zoeken naar ongepatcht sites. De gemiddelde beheerder wacht 14 dagen voor hij een kritische update doorvoert. In die tien dagen is de schade al lang aangericht.

Wat dit zo gevaarlijk maakt: WordPress-beheerders worden niet op de hoogte gesteld als een plugin van eigenaar wisselt. Een plugin die jarenlang betrouwbaar was, kan van de ene dag op de andere in vijandige handen zijn  en niemand weet het. Dat is precies wat Austin Ginder (oprichter van Anchor Hosting) ontdekte en aan de alarmbel trok.

"Dit was al de tweede hijack van een WordPress-plugin in twee weken tijd."

De getroffen plugins werden permanent verwijderd uit de officiële WordPress-directory  maar dat helpt weinig voor de duizenden websites die de plugins al geïnstalleerd hadden. Die moeten handmatig opgespoord en verwijderd worden. Heeft uw zorgwebsite externe plugins draaien? Dan is nu het moment om die lijst kritisch te bekijken.


Dichtbij huis: AZ Monica en de Vlaamse ziekenhuizen

Het blijft niet bij abstracte statistieken. In januari 2026 werd het AZ Monica-ziekenhuis in België getroffen door een gerichte cyberaanval. Maar het werkelijke verhaal was nog verontrustender dan de aanval zelf.

Cyberveiligheidsexpert Geert Baudewijns (CEO van Secutec) onderzocht daarna de situatie en ontdekte dat een gemeenschappelijke dienstenleverancier  die AZ Monica gebruikte voor patiëntenregistratie  ook door 3 andere Vlaamse ziekenhuizen werd ingezet. Via één enkel lek in die leverancier konden de onderzoekers wachtwoorden bemachtigen en toegang krijgen tot de gegevens van 71.000 patiënten.

Het gevaar van Plugins

Dit is precies het patroon dat bij WordPress-gebaseerde zorgsites zo gevaarlijk is: een plugin die door honderden organisaties tegelijk wordt gebruikt, vormt één enkel faalpoint. Wordt die plugin gecompromitteerd, dan zijn alle klanten tegelijk kwetsbaar  zonder dat ze daar zelf iets aan kunnen doen.

Aanvalstechniek

Hoe het werkt

Password stealer (meest gebruikt)

Software die op de achtergrond wachtwoorden en gevoelige info verzamelt, versleutelt en naar een externe server stuurt. In 50% van ransomware-zaken ingezet.

Leveranciers-aanval (supply chain)

Hackers compromitteren een externe dienstverlener en krijgen via die weg toegang tot tientallen klantorganisaties tegelijk.

Ransomware + data-afpersing

Na toegang via bovenstaande technieken worden systemen platgelegd en/of data gepubliceerd tenzij losgeld betaald wordt.


Nieuwe Europese wetgeving (NIS2) verplicht organisaties in essentiële sectoren intussen om te controleren of hun leveranciers voldoen aan vergelijkbare veiligheidsnormen. Maar zoals Baudewijns aangeeft: "Dat is een moeilijke zaak." Kleine ziekenhuizen en zorginstellingen missen simpelweg de capaciteit om alle leveranciers grondig te screenen.


Zo wapen je jouw zorgwebsite tegen hackers

Volledig onkwetsbaar wordt geen enkele website. Maar het risico drastisch terugbrengen is zeker mogelijk  ook zonder groot IT-team.

  1. Minimaliseer het aantal plugins. Elke plugin is een potentiële aanvalsvector. Verwijder alles wat je niet actief gebruikt. Minder code = minder risico.
  2. Automatische updates inschakelen. Zeker voor beveiligingsupdates. Het gat tussen disclosure en aanval is kleiner dan je denkt: 4 uur.
  3. Web Application Firewall (WAF) activeren. Tools zoals Cloudflare of Sucuri filteren kwaadaardig verkeer voor het je server bereikt, inclusief virtual patching voor bekende kwetsbaarheden.
  4. Twee-factor-authenticatie (2FA) afdwingen voor alle gebruikers met beheerdersrechten. Wachtwoorden alleen zijn niet voldoende.
  5. Dagelijkse backups op een externe locatie. Bij ransomware is een recente, geïsoleerde backup je enige reddingslijn  zonder losgeld te betalen.
  6. AVG-compliance audit. Zorgwebsites met contactformulieren of afsprakensystemen verwerken bijzondere persoonsgegevens en zijn daarvoor wettelijk aansprakelijk.
  7. Geen verouderde plugins laten staan. "Zombie plugins"  plugins die meer dan 6 maanden geen update kregen  ontvangen nooit meer een patch. Verwijder ze onmiddellijk.



Waarom steeds meer zorgorganisaties kiezen voor een veiliger alternatief

WordPress is krachtig  maar het is ontworpen als publicatieplatform, niet als beveiligde omgeving voor gevoelige data. Voor zorginstellingen die écht veilig willen zijn, groeit de interesse in modern gebouwde websites die structureel minder aanvalsvlak hebben.

WordPress vs. moderne alternatieven

WordPress (traditioneel)

Headless / static / no-code platform

Databases aanpasbaar via plugins

Geen database aanpasbaar via het CMS

Duizenden plugin-kwetsbaarheden per jaar

Minimaal aanvalsvlak, geen plugin-ecosysteem

Admin-dashboard publiek bereikbaar (/wp-admin)

Geen zichtbaar admin-dashboard voor aanvallers

Frequent handmatig updaten nodig

Automatisch geüpdated door het platform

Complexe hosting-configuratie vereist

Managed hosting, ingebouwde CDN en SSL


Moderne platforms zoals Webflow, statamic, Framer of headless CMS-combinaties (Sanity + Next.js, Contentful + Vercel) bieden een heel ander beveiligingsprofiel. Omdat de website als statische bestanden wordt geserveerd, is er geen database die via een plugin te kraken valt.

Het beste nieuws: zo'n website bouwen kost vandaag geen maanden meer. Met de juiste aanpak en tooling is een professionele, veilige zorgwebsite realistisch binnen één week live te zetten  volledig AVG-conform, met contactformulieren, afsprakensystemen en contentbeheer.

Klaar om de overstap te maken?

Een veilige zorgwebsite hoeft niet ingewikkeld te zijn. Met de juiste begeleiding heb je in één week een modern, veilig platform  zonder WordPress-risico's.


Bronnen & Referenties

1. Patchstack  2025 Mid-Year Vulnerability Report: patchstack.com/whitepaper/2025-mid-year-vulnerability-report

2. BleepingComputer  The four WordPress flaws hackers targeted most in Q1 2025: bleepingcomputer.com

3. Melapress  WordPress Security Survey 2025: melapress.com/wordpress-security-survey-2025

4. WP Security Ninja  WordPress Vulnerabilities Database 2026: wpsecurityninja.com

5. Developress  WordPress Security Update December 2025: developress.io

6. Kiwa  Waarom is de gezondheidszorg aantrekkelijk voor hackers: kiwa.com

7. FMT Gezondheidszorg  ChipSoft hack (april 2026): fmtgezondheidszorg.nl

8. Route443  De illusie van controle over onze medische gegevens: route443.eu

9. VRT NWS  Ook bij 3 andere Vlaamse ziekenhuizen lag toegang tot patiëntengegevens open voor hackers (januari 2026): vrt.be/vrtnws

10. TechCrunch  Someone planted backdoors in dozens of WordPress plug-ins used in thousands of websites (april 2026): techcrunch.com



WordPress in de zorg: het grootste lek dat niemand wil zien | Wajo