AI-koppelingen WordPress 7.0: let op je API-sleutels
WordPress 7.0 en AI-koppelingen: waarom je API-sleutels nu extra kwetsbaar zijn
WordPress 7.0 (“Armstrong”) is sinds eind mei 2026 beschikbaar en brengt voor het eerst standaard ondersteuning voor AI-koppelingen met partijen als Anthropic, OpenAI en Google. Handig, want steeds meer websites gebruiken AI voor content, klantenservice of zoekfunctionaliteit. Maar kort na de release kwam er ook meteen slecht nieuws: beveiligingsonderzoekers ontdekten dat de nieuwe AI-instellingen een lek bevatten waardoor API-sleutels zichtbaar kunnen worden voor onbevoegden. Voor organisaties die WordPress gebruiken en AI-diensten koppelen, is dit een onderwerp om serieus te nemen.
Wat is er precies aan de hand?
WordPress 7.0 introduceert een nieuw onderdeel genaamd de Connectors API. Via een instellingenscherm kun je hier eenmalig een API-sleutel invoeren voor een AI-provider, waarna alle plugins die van deze koppeling gebruikmaken automatisch toegang krijgen. Een praktische oplossing, maar wel een die een gevoelige sleutel op één centrale plek in de WordPress-database opslaat.
Vrijwel direct na de release werd een fout gemeld in het instellingenformulier voor deze koppelingen. Het invoerveld voor de API-sleutel gedroeg zich niet als een beveiligd wachtwoordveld, waardoor de browser eerder ingevoerde sleutels als leesbare autofill-suggestie kon tonen. Dat betekent dat een sleutel zichtbaar kan worden tijdens schermdelen, op een gedeelde computer, of voor iemand die toegang heeft tot een actieve browsersessie. Beveiligingsonderzoeker Oliver Sild van het WordPress-beveiligingsbedrijf Patchstack waarschuwde dat dit type lek, gecombineerd met kwetsbare plugins, hackers zal aantrekken die gericht op zoek gaan naar bruikbare AI-sleutels.
Waarom is dat aantrekkelijk voor kwaadwillenden? Een AI API-sleutel is geen gewoon wachtwoord, maar een directe toegang tot een betaalaccount. Elk gebruik van de AI-dienst wordt namelijk per verzoek of per token afgerekend. Een gestolen sleutel kan zomaar duizenden euro’s aan misbruikte rekeningen opleveren, bijvoorbeeld voor het opzetten van geautomatiseerde phishingcampagnes of nepaccounts op sociale media.
Wat betekent dit voor jouw organisatie?
Ook als je zelf geen grote e-commercepartij bent, kan dit risico je rechtstreeks raken. Steeds meer WordPress- en WooCommerce-sites gebruiken inmiddels een AI-koppeling, bijvoorbeeld voor productbeschrijvingen, een chatbot of automatische contentgeneratie. Zodra jouw site zo’n koppeling met een betaalde AI-dienst heeft, wordt deze automatisch interessanter voor aanvallers, ook als de rest van je website weinig waardevolle data bevat.
Belangrijk om te beseffen: dit is niet alleen een probleem van WordPress zelf. Het gaat om een combinatie van factoren, zoals verouderde plugins, zwakke toegangsbeveiliging en het centraal opslaan van gevoelige sleutels. WordPress-oprichter Matt Mullenweg benadrukte terecht dat goed onderhouden sites doorgaans veilig zijn. Dat neemt niet weg dat elke organisatie die AI-koppelingen gebruikt, nu een extra check op de checklist heeft staan.
Waar moet je op letten?
Een paar concrete stappen die we onze klanten adviseren:
- Update naar de laatste versie. WordPress heeft het autofill-probleem inmiddels verholpen. Zorg dat je core, thema’s en plugins altijd bijgewerkt zijn, zeker na een grote release als 7.0.
- Beperk wie toegang heeft tot de koppeling. Controleer via het nieuwe instellingenscherm welke plugins gebruikmaken van je AI-verbinding en verwijder toegang voor plugins die je niet actief gebruikt.
- Gebruik geen browser-autofill voor gevoelige sleutels. Voer API-sleutels bij voorkeur in via een wachtwoordmanager in plaats van de ingebouwde browserfunctie.
- Stel budgetten en limieten in bij je AI-provider. Veel AI-diensten bieden de mogelijkheid om een maximum uitgavenbedrag of gebruikslimiet in te stellen. Zo blijft de schade beperkt als een sleutel toch wordt buitgemaakt.
- Monitor je gebruik. Houd niet alleen je website-logs in de gaten, maar ook het verbruiksoverzicht van je AI-provider zelf. Onverklaarbare pieken in gebruik zijn vaak het eerste signaal van misbruik.
- Zorg voor actueel plugin- en onderhoudsbeheer. Veel van dit soort risico’s ontstaan niet door de AI-koppeling zelf, maar door een verouderde of kwetsbare plugin die als ingang wordt gebruikt.
Conclusie
De AI-mogelijkheden in WordPress 7.0 zijn een logische en waardevolle stap, maar ze brengen ook een nieuw type risico met zich mee: gevoelige, direct aan geld gekoppelde sleutels die nu centraal in je website worden opgeslagen. Voor organisaties die AI al gebruiken of overwegen te gaan gebruiken, is dit een goed moment om stil te staan bij hoe die koppelingen zijn ingericht en beveiligd.
Twijfel je of jouw website of webshop goed is voorbereid op deze ontwikkeling, of wil je advies over veilig gebruik van AI-koppelingen binnen WordPress? Neem gerust contact met ons op, we denken graag met je mee.
InDiv ontwikkelt slimme, schaalbare maatwerkoplossingen voor bedrijven die digitaal willen groeien. Benieuwd wat we voor jouw organisatie kunnen betekenen? Neem gerust contact met ons op.
roy@indiv.nl – 0591-794020