Case Studies

Echte resultaten van onze security assessments. Alle bedrijven zijn geanonimiseerd ter bescherming van hun privacy.

ICT Dienstverlener met verouderde infrastructuur

ICT Dienstverlening 10-25 werknemers Maart 2025
2 Critical
4 High
6 Medium
3 Low

Belangrijkste Bevindingen

  • Verouderde PHP versie (5.5.9)
    Kritieke kwetsbaarheid door end-of-life PHP versie zonder security updates. Meerdere bekende CVE's van toepassing.
  • Verouderde WordPress versie (4.9.8)
    WordPress versie met bekende security issues. Huidige versie is 6.7+, deze versie is jaren verouderd.
  • XML-RPC enabled
    XML-RPC interface actief, vatbaar voor brute force aanvallen en DDoS amplification. Geen legitieme use case geïdentificeerd.
  • WP-Cron Publiek toegankelijk
    WordPress cron job via externe verzoeken, kan misbruikt worden voor DDoS aanvallen.
  • Server Informatie disclosure
    X-Powered-By headers lekken exacte PHP/server versies. Helpt aanvallers met reconnaissance.

Resultaat

Beveiligingsrisico substantieel verlaagd door:

✓ Upgrade naar PHP 8.1 binnen 2 weken geïmplementeerd
✓ WordPress update naar 6.7.1 met alle patches
✓ XML-RPC volledig uitgeschakeld via .htaccess
✓ WP-Cron verplaatst naar server-side cronjob
✓ Security headers toegevoegd (CSP, HSTS, X-Frame-Options)

E-commerce Platform met plugin kwetsbaarheden

E-commerce 5-10 werknemers Januari 2026
1 Critical
2 High
4 Medium
2 Low

Belangrijkste Bevindingen

  • Plugin met bekende CVE (CVE-2022-45369)
    Widget Google Reviews plugin bevat SQL injection kwetsbaarheid. Aanvaller kan database dumpen inclusief klantgegevens.
  • Readme.html Publiek toegankelijk
    WordPress versie-informatie publiek zichtbaar via readme.html. Helpt aanvallers met versie-specifieke exploits.
  • Must-Use Plugins Directory Listable
    mu-plugins directory zonder index, toont alle geïnstalleerde must-use plugins aan potentiële aanvallers.

Resultaat

Directe actie genomen:

✓ Kwetsbare plugin onmiddellijk verwijderd en vervangen door veilig alternatief
✓ Readme.html en andere info-disclosure files geblokkeerd
✓ Directory listing uitgeschakeld voor alle directories
✓ Plugin audit uitgevoerd - 3 ongebruikte plugins verwijderd
✓ Automatische update notifications ingeschakeld

Webdevelopment Bureau met configuratie issues

Webdevelopment 10-25 werknemers Januari 2026
0 Critical
3 High
7 Medium
5 Low

Belangrijkste Bevindingen

  • Alle Security headers ontbreken
    Geen enkele security header aanwezig (HSTS, CSP, X-Frame-Options, X-Content-Type-Options). Site kwetsbaar voor clickjacking en XSS.
  • WP-Config.php Toegankelijk via HTTP
    WordPress configuratie file retourneert HTTP 200, zou geblokkeerd moeten zijn. Bevat potentieel gevoelige informatie.
  • SSL Certificate Transparency waarschuwing
    Slechts 2 SCTs aanwezig, Google recommends 3+ voor optimale certificate transparency.
  • OCSP stapling Niet geconfigureerd
    OCSP stapling niet ingeschakeld, langzamere certificate validation voor bezoekers.

Resultaat

Configuratie verbeterd:

✓ Volledige set security headers geïmplementeerd via .htaccess
✓ WP-config.php toegang geblokkeerd via nginx config
✓ SSL certificaat heruitgegeven met 3+ SCTs
✓ OCSP stapling ingeschakeld op webserver
✓ Security score verhoogd van D naar A op securityheaders.com

Marketing bureau met WordPress exposure

Marketing & PR 25-50 werknemers Januari 2026
0 Critical
2 High
5 Medium
4 Low

Belangrijkste Bevindingen

  • WordPress versie verouderd (6.2.4)
    WordPress versie heeft bekende kwetsbaarheden. Nieuwere versies bevatten belangrijke security patches.
  • XML-RPC brute force gevoelig
    XML-RPC interface maakt brute force aanvallen mogelijk zonder rate limiting. Inlogpogingen worden niet gelimiteerd.
  • Theme directory exposed
    Theme README en directory structure publiek zichtbaar. Onthult versie-informatie van Divi theme.
  • WordPress generator meta tag
    Exacte WordPress versie zichtbaar in feed en HTML source. Helpt aanvallers met targeting.

Resultaat

Beveiliging versterkt:

✓ WordPress geupdate naar 6.7.1 met alle security patches
✓ XML-RPC uitgeschakeld via plugin (Disable XML-RPC)
✓ Generator meta tags verwijderd uit templates
✓ Directory listing uitgeschakeld voor wp-content
✓ Fail2ban geïnstalleerd voor brute force protection

Wil je ook weten hoe veilig jouw website is?

Vraag een gratis security scan aan en ontdek binnen 48 uur welke kwetsbaarheden er op jouw website aanwezig zijn.

Vraag Gratis Scan Aan