Bugs, Datalekken, Nieuws

Door een actief misbruikte cPanel-bug lopen miljoenen websites het risico te worden overgenomen

door Pieter Arntz | 1 mei 2026
gecompromitteerde servers

Beveiligingsonderzoekers waarschuwen voor een nieuw ontdekte kwetsbaarheid in de veelgebruikte software voor webserverbeheer cPanel en WebHost Manager (WHM). 

Dit is een ernstig beveiligingslek in cPanel/WHM waarmee authenticatie kan worden omzeild. Dit lek wordt momenteel actief misbruikt en stelt aanvallers in staat om zonder inloggegevens beheerderstoegang tot de interface te verkrijgen, waardoor ze mogelijk de controle over servers en alle gehoste websites kunnen overnemen.

De kwetsbaarheid, geregistreerd onder CVE-2026-41940, is door het Cybersecurity and Infrastructure Security Agency (CISA) toegevoegd aan de lijst met bekende misbruikte kwetsbaarheden, wat betekent dat er aanwijzingen zijn dat deze wordt gebruikt bij daadwerkelijke aanvallen.

Aangezien cPanel/WHM wereldwijd door meer dan een miljoenwebsites wordt gebruikt, waaronder banken en zorginstellingen, zijn de mogelijke gevolgen enorm. Simpel gezegd fungeert het beveiligingslek als een sleutel tot de voordeur van een groot deel van de hostinginfrastructuur op het internet.

cPanel heeft op 28 april 2026 patches uitgebracht en alle klanten en hostingproviders aangespoord om te updaten. Volgens het bedrijf zijn alle ondersteunde versies vanaf 11.40 getroffen, inclusief DNSOnly en WP Squared.

Hostingproviders zoals Namecheap, HostGator en KnownHost hebben de toegang tot cPanel-interfaces tijdelijk geblokkeerd tijdens het installeren van een patch. Zij beschouwden dit als een kritieke omzeiling van de authenticatie en meldden pogingen tot misbruik die teruggaan tot eind februari 2026.

Hoe blijf ik veilig

Hoewel het aan de hostingbedrijven en website-eigenaren is om zo snel mogelijk patches te installeren, zijn er manieren om het risico te beperken als een website die u gebruikt, gehackt is.

Beperk zoals altijd de gegevens die je met websites deelt tot wat absoluut noodzakelijk is. Gegevens die ze niet hebben, kunnen ook niet worden gestolen.

Vink bij het bestellen bij een webwinkel het vakje niet aan waarmee je je kaartgegevens voor toekomstige aankopen opslaat, aangezien deze dan op de server worden bewaard.

Als er een optie is om als gast af te rekenen, maak daar dan gebruik van. Zo hoef je minder persoonlijke gegevens aan een account te koppelen.

Gebruik wachtwoorden niet op meerdere plaatsen. Als één website wordt gehackt, leidt het gebruik van dezelfde inloggegevens op verschillende plaatsen tot een probleem waarbij meerdere accounts worden overgenomen. Een wachtwoordbeheerder kan je helpen bij het bedenken van complexe, unieke wachtzinnen en deze voor je onthouden.

Betaal waar mogelijk met een creditcard. In veel regio’s biedt dit je een betere bescherming tegen fraude.

Personal Data Remover

Je gegevens worden waarschijnlijk al te koop aangeboden. 

Wanneer een website die je vertrouwt wordt gehackt

Als u denkt dat uhet slachtoffer bent gewordenvan een datalek, neem dan de volgende maatregelen:

  • Raadpleeg het advies van het bedrijf.Elke inbreuk is anders, dus neem contact op met het bedrijf om te achterhalen wat er is gebeurd en volg het specifieke advies dat het geeft.
  • Wijzig uw wachtwoord. u een gestolen wachtwoord onbruikbaar maken voor dieven door het te wijzigen. Kies een sterk wachtwoord dat u nergens anders voor gebruikt. Beter nog, laat een wachtwoordmanager er een voor u kiezen.
  • Schakeltweefactorauthenticatie (2FA)in.Gebruik indien mogelijk een FIDO2-compatibele hardwaresleutel, laptop of telefoon als tweede factor. Sommige vormen van 2FA kunnen net zo gemakkelijk worden gehackt als een wachtwoord, maar 2FA die gebruikmaakt van een FIDO2-apparaat kan niet worden gehackt.
  • Pas op voor imitators.De dieven kunnen contact met u opnemen en zich voordoen als het gehackte platform. Controleer op de officiële website of er contact wordt opgenomen met slachtoffers en verifieer de identiteit van iedereen die via een ander communicatiekanaal contact met u opneemt.
  • Neem uw tijd. Phishing-aanvallen doen zich vaak voor als mensen of merken u en gebruiken thema's die dringende aandacht vereisen, zoals gemiste leveringen, opschortingen van accounts en beveiligingswaarschuwingen.
  • Overweeg om uw kaartgegevens niet op te slaan. Het is zeker handiger om websites uw kaartgegevens te laten onthouden, maar het verhoogt het risico als een winkelier te maken krijgt met een inbreuk op de beveiliging.
  • Stelidentiteitsbewaking in, die u waarschuwt als uwpersoonlijke gegevensillegaal online worden verhandeld en u helpt om daarna weer op orde te komen.

Wat weten cybercriminelen over jou?

Gebruik de gratis Digital Footprint-scan Malwarebytes om te zien of uw persoonlijke gegevens online zijn blootgesteld.

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

Insecten
Microsoft-logo

Patch Tuesday in mei 2026: geen zero-days, maar wel genoeg te verhelpen

Mei 13, 2026

De Patch Tuesday van mei is misschien niet de grote update die velen hadden verwacht, maar er zitten nog steeds tal van belangrijke oplossingen in die je niet over het hoofd mag zien.

Nieuws
Claude-logo

Valse zoekresultaten voor 'Claude' lokken Mac in de ClickFix-aanval

Mei 12, 2026

Onderzoekers hebben een ClickFix-campagne ontdekt die gebruikmaakt van valse installatiehandleidingen voor Claude om Mac ertoe te verleiden hun computer te besmetten.

Nieuws
Een groep jonge mensen die er gelukkig uitzien

Gestolen Canvas-gegevens zijn na hacker „teruggegeven“, aldus Instructure

Mei 12, 2026

Instructure zegt dat de gestolen Canvas-gegevens, die gevolgen hadden voor miljoenen studenten en medewerkers, zijn „teruggegeven“. Zo werkt dat bij datalekken niet.

Gerelateerde artikelen

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting