24/7 ondersteuning
Veelgestelde vragen
 Dashboard
Accountsaldo:    
WooCommerce-plugin als datadief: zo zit de FunnelKit-kwetsbaarheid in elkaar

WooCommerce-plugin als datadief: zo zit de FunnelKit-kwetsbaarheid in elkaar

Mei 18, 2026 woocommerce security plugin vulnerabilities payment data protection e-commerce compliance gdpr web hosting security checkout security credit card fraud prevention

De stille datadiefstal tijdens het afrekenen

Stel je voor dat een hacker geen deur openbreekt of raam inslaat. In plaats daarvan glipt hij via een openstaand zijraam naar binnen, kijkt mee hoe klanten hun creditcardgegevens intoetsen en vertrekt weer met een map vol betaaldata. Geen alarm, geen rommel, geen spoor. Tot beveiligingsonderzoekers het ontdekten.

Precies dat gebeurde bij meer dan 40.000 WooCommerce-winkels die een kwetsbare versie van de FunnelKit-plug-in draaiden.

Tussen het moment van ontdekking en de uitgave van de patch in mei 2026 liepen hackers real-time gevoelige betaalgegevens af. Creditcardnummers, CVV-codes, adressen en klantinformatie werden stilzwijgend onderschept tijdens het afrekenen. Klanten wisten van niets. En jij als winkelier waarschijnlijk ook niet.

Hoe de aanval precies werkte

Het gevaar zat hem vooral in de onzichtbaarheid. De schadelijke code was verstopt als een gewoon script voor analytics—zo’n tracking-tag die je op vrijwel elke e-commerce site tegenkomt. Jouw beheerdashboard zag er gewoon uit. De checkout-ervaring van je klanten bleef ongestoord.

Maar achter de schermen werd elke toetsaanslag in de betaalvelden naar servers van hackers gestuurd. Standaard beveiligingscontroles pikten dit niet op. De meeste winkeliers hadden geen idee wat er onder de haube gebeurde.

De omvang van de schade

Er zijn enkele belangrijke cijfers:

  • Meer dan 40.000 WooCommerce-winkels waren kwetsbaar
  • Elke winkel die de patch nog niet had geïnstalleerd, kon al gecompromitteerd zijn
  • Elke transactie tijdens de periode van kwetsbaarheid had data blootgesteld
  • Versies vóór 3.15.0.3 waren kwetsbaar

Heb je in die periode creditcardbetalingen ontvangen zonder de nieuwste update? Neem dan aan dat je klantgegevens zijn gestolen. Dat klinkt alarmistisch, maar het is de verantwoordelijke reactie.

Een reguliere rekening

Als GDPR van toepassing is, heb je verplichtingen. De plug-in-maker is niet verantwoordelijk—jij wel.

  • Je moet klanten informeren over de blootstelling
  • Je moet de omvang en timeline vastleggen
  • Je kunt te maken krijgen met boetes
  • Je moet reputatieschade opvangen en misschien creditcardmonitoring aanbieden

En dat is enly een deel van de wetten die je tegenkomt. CCPA en andere Amerikaanse of internationale regels kunnen ook van je maken.

Wat je nu moet doen

Als je FunnelKit gebruikt: Update direct naar versie 3.15.0.3 of later. Ga nu aan de slag.

Als je een WooCommerce-winkel hebt: Doe een audit van alle plug-ins die aan de checkout touchen. Activeer waar mogelijk automatische updates voor security patches. Overweeg een Web Application Firewall (WAF).

Als een klantdata

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB HU IT FR ES DE DA ZH-HANS EN