Als je WordPress sites beheert voor je bedrijf of voor klanten, is dit zo’n melding waar je even niet omheen wilt. Er is een kwetsbaarheid met score 9.8 op 10 gevonden in de CleanTalk Antispam plugin, die op meer dan 200.000 websites draait. In het slechtste geval kan iemand zonder in te loggen plugins installeren en daarmee de stap maken naar remote code execution, simpel gezegd code uitvoeren op je server.
Wat CleanTalk precies doet
CleanTalk is een abonnementsdienst die spam en nepgedrag afvangt, zoals spamregistraties, ongewenste form submissions en e mail via formulieren. Daarnaast zit er een firewall functie in die bots kan blokkeren.
Omdat het om een dienst met abonnement gaat, werkt de plugin met een API sleutel. Daarmee legt je site contact met de CleanTalk servers om verzoeken te controleren en beslissingen te nemen.
Waar het misgaat: CVE 2026 1490
De kwetsbaarheid is vastgelegd als CVE 2026 1490. In de plugin zit een WordPress functie die controleert of er met een geldige API sleutel contact wordt gemaakt met de CleanTalk servers. Als die validatie niet lukt, bijvoorbeeld door een ongeldige API sleutel, valt de plugin terug op een alternatief pad om zogenaamd vertrouwde verzoeken te beoordelen.
Dat alternatief is de functie checkWithoutToken. En juist daar zit het probleem: die controle verifieert de identiteit van de aanvrager niet goed. Een aanvaller kan zich voordoen alsof het verzoek van het domein cleantalk.org komt en daarmee door de controle heen glippen.
Waarom dit vervelend is voor ondernemers en marketeers
Als iemand zonder authenticatie plugins kan installeren, dan is dat geen onschuldig trucje. Het opent de deur naar het installeren van kwetsbare plugins die vervolgens misbruikt kunnen worden om code op afstand uit te voeren. Dat kan betekenen dat je site wordt overgenomen, dat er spam pagina’s worden geplaatst, of dat er data wordt buitgemaakt.
Belangrijk detail: volgens de advisories raakt dit vooral installaties waarbij geen geldige API sleutel actief is. Juist dat zie ik in de praktijk nog wel eens gebeuren, bijvoorbeeld omdat een abonnement is verlopen, een sleutel nooit is ingesteld, of een staging site per ongeluk live is gezet zonder goede configuratie.
Wat Wordfence hierover zegt
Wordfence omschrijft het als een autorisatie bypass via reverse DNS, ook wel PTR record spoofing genoemd, in de checkWithoutToken functie. Daardoor kan een aanvaller uitkomen bij unauthenticated arbitrary plugin installation, dus het zonder inloggen installeren van plugins.
De advisory staat hier: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/cleantalk-spam-protect/spam-protection-honeypot-anti-spam-by-cleantalk-671-authorization-bypass-via-reverse-dns-ptr-record-spoofing-to-unauthenticated-arbitrary-plugin-installation
Wat je nu kunt doen, zonder paniek maar wel netjes
De kwetsbaarheid raakt versies tot en met 6.71. Het advies is om te updaten naar 6.72 of nieuwer. Mijn praktische aanpak is simpel.
Log in op je WordPress omgeving en check welke versie er draait. Update daarna de plugin, en kijk meteen of de API sleutel actief en geldig is, zodat je niet onbedoeld in die fallback controle terechtkomt.
Heb je meerdere sites, of beheer je sites voor klanten, plan dan een korte ronde waarin je ook even controleert of er recent plugins zijn geïnstalleerd die je niet herkent. En zorg dat je back ups en basisbeveiliging op orde zijn, want bij dit soort misbruik wil je vooral snel kunnen herstellen.
Dit soort meldingen laat weer zien dat een plugin niet alleen een marketingtool is, maar ook een stukje infrastructuur. Goed onderhoud is geen luxe, het is gewoon onderdeel van bedrijfsvoering.