Internationale actie tegen WordPress-malware schoont bijna 15.000 websites op

Bij een internationale actie genaamd Operatie Endgame zijn meer dan honderd servers en domeinen offline gehaald die iets met de SocGholish-malware te maken hebben. Ook de Nederlandse politie werkte hieraan mee. Bijna 15.000 geïnfecteerde WordPress-websites zijn daarbij opgeschoond.

Operation Endgame bron: politieSocGholish is malware die gebruikmaakt van kwetsbaarheden in het WordPress-ecosysteem. Hierdoor kunnen sites op het platform geïnfecteerd worden, waarna ze gebruikt worden om verdere malware te verspreiden. Volgens de politie zijn 15.000 WordPress-websites geïnfecteerd.

Samen met opsporingsdiensten uit Canada, de Verenigde Staten en Duitsland heeft de politie 106 servers en domeinen offline gehaald die betrokken waren bij de malware. Criminelen genaamd EvilCorp zitten achter deze malware. Dit zou een Russische bende van cybercriminelen zijn.

De politie heeft websites opgeschoond door de malware te verwijderen en slachtoffers van de criminelen en eigenaars van websites met eventuele backdoors ingelicht over de situatie. Ook heeft de politie de bij haar bekende gegevens toegevoegd aan de datalekdatabase Check je hack. In het verlengde daarvan raadt de instantie gebruikers aan om hun WordPress-website verder te beschermen:

  • Wijzig inloggegevens.
  • Zet tweefactorauthenticatie aan.
  • Verwijder onbekende accounts uit de WordPress-omgeving.
  • Houd de WordPress-website up-to-date.

Door Yannick Spinner

Redacteur

18-06-2026 • 21:12

35

Submitter: scannerrob

Reacties (34)

Sorteer op:

Weergave:

De politie heeft websites opgeschoond door de malware te verwijderen en slachtoffers van de criminelen en eigenaars van websites met eventuele backdoors ingelicht over de situatie.
Ok, dit vind ik best wel een gevaarlijke actie, ok dat ze de eigenaars inlichten, maar zelfstandig de malware verwijderen is toch een vorm van ongeoorloofd toegang verkrijgen tot een systeem.
Wereldwijd werden 106 servers en domeinen neergehaald. 14.971 besmette websites zijn opgeschoond. Daarnaast zijn de volgende acties uitgevoerd:
  • Opschonen van geïnfecteerde WordPress sites en slachtoffernotificatie waarin voorheen geïnfecteerde WordPress eigenaren worden aangespoord hun website te updaten en inloggegevens aan te passen. Hierbij is in Nederland de hackbevoegdheid ingezet.
  • Onklaar maken van het SocGholish botnet door het overnemen van domeinnamen en offline halen van servers.
  • Slachtoffernotificatie voor eigenaren van WordPress websites waarvan gelekte inloggegevens zijn aangetroffen door de politie, via HaveIbeenPwned, DIVD, Spamhaus, CheckjeHack, NomoreLeaks, The Shadowserver Foundation en NCSC.
Dat voelt en is natuurlijk heel intrusief. Alleen dat was het botnet ook, wat grote maatschappelijke gevolgen heeft. Aangezien WordPress laagdrempelig en beheer weinig aandacht krijgt, is het laten draaien nog gevaarlijker.

[Reactie gewijzigd door Bliksem B op 18 juni 2026 23:15]

Tja, dat gaat goed tot het fout gaat. Er is al meer dan 30 jaar geleden een soortgelijke discussie over geweest.

Het probleem zit hem in de aanname dat jouw geautomatiseerde opruimactie overal rekening mee houdt en niet gecontroleerd hoeft te worden door een wel denkend(*) mens. Dat is nog belangrijker als het gaat over file infecties.

(*) geen spelfout.

Alleen het opschonen van websites is geen fix van het onderliggend probleem: het ontbreken van beheer. Dat gaat niet alleen over security fixes maar ook over het verwijderen van niet meer onderhouden software. Het haalt wel sporen weg van de aard van de infectie.
Dat is een hele klassieke gedachte, geboren in een wereld waar iedereen die iets met IT doet ook een verantwoorde (semi-)proffesionele ITer is. Maar hoe stel je voor om non-IT mensen, die kennelijk niet veel om website beheer geven, toch aan te sporen hun website en server te laten beheren?
Ik vind een notificatie van de politie wel een aardig begin eigenlijk. Schept hopelijk toch een beetje bewustwording.
Je hebt niet alleen een notificatie gekregen. De politie heeft misbruik van het lek gemaakt en de malware VOOR je verwijderd.

De politie heeft gebruik gemaakt van haar hackbevoegdheid.
Tjah, de volgende stap is de politie die je normale computer kraakt om te kijken of je OS wel up to date is.....
Dit is een glijdende schaal.
Wat jij benoemd is preventief, waar het artikel over gaat is reactief, er IS dus al een probleem en dat IS al (concreet) aanwijsbaar...

En nee overal 'glijdende schaal' bij roepen werkt niet, dat kan je over ALLES namelijk zeggen, eigenlijk mogen regels niet veranderd worden anders is er kans op een 'glijdende schaal'.
Ok, stel.
Jij ziet op een site dat deze malware er zit, mag jij dit dan oplossen zoals de politie zo doet?
Nee, dat is computervredebreuk. Waarom mag de overheid het dan wel?
Dank u
Toch spelfoutje: weldenkend is één woord!
"wel" is hier opzettelijk een apart woord. Het gaat om het wél denken (de mens, pleonasme) versus niét denken (het opruimscript).

Ik heb talloze websites opgeschoond en wat ik vaak tegenkwam was dat men steeds de meest duidelijke sporen weghaalt en het originele probleem (de software met beveiligingslek) niet corrigeert. Een besmette website is vaak voorzien van meer dan één stuk malware. Antivirus detecteert php malware typisch erg slecht. Je moet echt met de hand controleren wat er is gebeurd om een site op te schonen. Bedrijven die beloven een website op te schonen doen vaak ook maar half werk, ik heb ze (s*.net) regelmatig moeten manen nog eens beter te kijken.

Wat dat betreft is het veelzeggend dat het probleem vaak met rechten wordt aangepakt. Vooral in China was dat vroeger zo op Windows websites. Men draaide standaard een script zodat geautomatiseerde malware nog wel kon draaien, maar weinig kon uitrichten doordat het geen mogelijkheid had de malware te plaatsen. Website bleef dus draaien, maar was verder zo lek als een mandje.
Lijkt me wel logisch.

Maar de website wordt niet gepatched en een minuut later is het weer gehacked?

(Ik zie in mijn log de hele dag hits voor dit soort exploits.)
Persoonlijk zie ik hier helemaal niets mis mee. Ze zorgen zo voor een veiliger internet.
Maar het is wel een glijdende schaal. Nu gaat het om een WordPress site. Straks gaat het om een computer met een onveilig OS of misschien wel een fortigate VPN }> van een grote overheidsorganisatie die nog niet gepatched is

Gaan we die dan ook hacken?
Ik zie de cynische comments van beheerders al: ach laat maar staan, de politie los het wel op voor ons (gaat koffie drinken)

[Reactie gewijzigd door fenrirs op 19 juni 2026 09:41]

Als de computer geïnfecteerd is en onderdeel uitmaakt van een operatie die andere systemen in gevaar brengt dan is het wat mij betreft geoorloofd. Ik denk niet dat de politie dit voor hun lol doet om in jouw bestanden te kijken.
Laat de politie nu net bij uitstek wel geoorloofd zijn, omdat ze een mandaat van de wetgever hebben.

Je kunt ook redelijk makkelijk betogen dat de malware laten staan gevaarlijker is. Vergelijk het met de politie die jouw voordeur openbeukt omdat er een volautomatisch machinegeweer door het raam mensen op straat neer staat te paffen. Ze verschaffen zich zomaar toegang tot jouw woning om jouw eigendom te vernielen, maar uiteraard wel met reden.
Iemand een tip waar je je persoonlijke website een beetje kan scannen op kwetsbaarheden?
Qua plugins Wordfence, maar liever op de server zelf met de tools die daar aanwezig zijn.
Wordfence is goed inderdaad!
Geen idee ivm het scannen,

Ik heb voor mijn zaak maar een simpele informatieve website (niets met klanten data of zo) , is gewoon wordpress en 1 thema en een 3tal plugins,

Wordpress, thema en plugins heb ik gewoon ingesteld om automatisch te updaten, ik krijg hier dan een mailtje van als er iets geupdate is, gewoon even kijken , werkt de site nog en we zijn weer gerust,

maar in mijn geval is het natuurlijk een statische website waar op mijn info meldingen na niet echt veel aan veranderd.

Maar als je dus een simpele website hebt zou ik niet weten waarom de updates niet gewoon automatisch staan, als je regelmatig eens een backup neemt is dat denk ik toch de beste manier ipv het risico te lopen om met een website te zitten die niet gepatchte beveiligingsproblemen heeft.
Geen idee ivm het scannen,

Ik heb voor mijn zaak maar een simpele informatieve website (niets met klanten data of zo) , is gewoon wordpress en 1 thema en een 3tal plugins,

(...)
maar in mijn geval is het natuurlijk een statische website (...)
Waarom gebruik je daar überhaupt zoiets dynamisch als Wordpress voor, en niet een static site generator zoals bijvoorbeeld Hugo?
Omdat ik geen kaas gegeten had/heb van website's bouwen, nog minder tijd had om het te doen (en ook geen interesse in heb) en ik toen we naar ons eigen domein gingen en een site nodig hadden even zitten kijken had en ik in ieder geval toen via mijn "google searches" kwam op WorldPress + 1 thema en het mij daar mee lukte om redelijk snel en volledig gratis onze website naar wens klaar had :)

Als toen mijn google Search ook "Hugo" had getoond had ik dat toen zeker ook eens bekeken :)

Dus als het zo ver is dat de website aangepast moet worden of er iets voor problemen zorgt of plots betalend wordt, dan zal ik mogelijk ook naar "Hugo" kijken :) alvast bedankt voor de tip.
https://wpscan.com/ als je ook wordpress gebruikt. Deze gebruiken we op het werk altijd voor bijvoorbeeld hackthebox.

[Reactie gewijzigd door Llopigat op 19 juni 2026 06:48]

Twee weken geleden is mijn site ook gehackt geweest. Mogelijk door dezelfde groep. Heb zelf alles weer opgeschoond maar je blijft nog weken alert op elke kleine afwijking.

Ik dacht dat ze binnengekomen waren via een van de plugins. Verder slim gedaan, bepaalde beveiligings-plugins (zoals omleiden login pagina) waren uitgeschakeld, er waren tientallen beheerder-accounts gemaakt, de php scripts van WP waren geïnjecteerd met code, er was een extra php script met foute code toegevoegd (alleen herinstalleren van WP overschrijft die natuurlijk niet) en er was een beheerder toegevoegd aan de Google Search Console.

Dat laatste was mijn redding, ik kreeg er een notificatie van, dus kon ik ingrijpen.

Maar de impact op je mentale gestel is groot helaas.
Ze hebben het ook bij mij geprobeerd, gelukkig kreeg ik op tijd een mailtje, maar ind de hersenspinsels gelijk.
Mooie actie. Bijzonder dat de politie in de tips niks vermeld over alert zijn bij het installeren van plug-ins, daar zit een groot deel van de kwetsbaarheiden in.
In het stappenplan staat "Zet tweefactorauthenticatie aan", alsof het een basisfunctionaliteit van WordPress is. Dat is helaas op het moment van schrijven niet het geval, evenals ondersteuning voor passkeys. Natuurlijk zijn voor beide doeleinden wel verscheidene plugins beschikbaar, maar het was naar mijn idee toch fijner geweest als Automattic deze stappen zelf inmiddels had gezet.
Tja met die oude php zooi is dat gewoon dweilen met de kraan open
Wat heeft de taal ermee te maken?
Ik vind het wel een aardige tip om de /wp-admin default login pagina op een andere plek te zetten.

Als je ziet hoeveel verkeer daar op binnen komt... het blijft een ouderwets systeem.
Yep, ik heb niet eens Wordpress of PHP draaien en ik zie constant in de log dat bots die /wp-admin pagina opvragen.

De makkelijkste methode voor hobby-sites is om gewoon geen backend te hosten. Dan hoef je ook niet constant alle risicos in de gaten te houden.
Zonde van de capaciteit van de politie, maar helaas is het nodig....

Om te kunnen reageren moet je ingelogd zijn