ChatGPT, Copilot, Cursor en Claude schrijven tegenwoordig volledige WordPress plugins, custom scripts en extensies. Snel, goedkoop, geen ontwikkelaar nodig. De verleiding is begrijpelijk: wat vroeger duizenden euro's kostte, lijkt nu met een paar prompts geregeld. Maar er zit een keerzijde aan die zelden wordt benoemd. In dit artikel kijken we eerlijk naar wat AI-gegenereerde code voor je WordPress website betekent: de voordelen zijn echt, maar de risico's ook.
Wat bedoelen we met AI-gegenereerde code?
Steeds meer ondernemers en bureaus gebruiken AI-tools om code te laten schrijven. Dit varieert van simpele snippets (een formulier, een popup, een prijsberekening) tot volledige WordPress plugins die bedrijfskritische processen aansturen.
De meest gebruikte werkwijze: je beschrijft in gewone taal wat je wilt ('maak een plugin die klanten automatisch een offerte stuurt na het invullen van het contactformulier'), en de AI genereert de code. Geen developer nodig. Of zo lijkt het.
Deze aanpak heeft een naam gekregen: 'vibe coding'. Je bouwt op gevoel, op basis van output die er goed uitziet en in eerste instantie werkt. Het probleem zit niet in wat je ziet, maar juist in wat je niet ziet.
De voordelen zijn echt
Laten we eerlijk zijn: AI-gegenereerde code heeft echte voordelen die je niet moet wegwuiven.
- Snelheid: functionaliteit die vroeger weken kostte, is soms in uren operationeel
- Kosten: geen developer nodig voor eenvoudige aanpassingen
- Toegankelijkheid: ondernemers zonder technische achtergrond kunnen zelf bouwen
- Iteratie: snel testen, aanpassen en verfijnen
Voor eenvoudige, niet-kritieke functies (een extra invoerveld, een lichte opmaakwijziging, een helpende snippet) kan AI-code prima werken. Zeker als iemand met technische kennis het resultaat beoordeelt.
De risico's die in de praktijk opduiken
Beveiligingslekken zijn vrijwel standaard, niet de uitzondering
Dit is het harde getal dat veel mensen niet kennen: 45% van de code die populaire AI-tools genereren, bevat bekende OWASP-kwetsbaarheden. Lees meer over hoe veilig een WordPress website werkelijk is om dit in context te plaatsen.
Bij 'vibe coding' (het bouwen van applicaties puur op basis van AI-output zonder diepgaande review) loopt dat percentage op tot meer dan 50%.
De meest voorkomende lekken in AI-gegenereerde code:
- SQL-injectie: de AI schrijft database-queries die aanvallers kunnen misbruiken om jouw WordPress-database te lezen, aan te passen of te wissen
- Cross-Site Scripting (XSS): gebruikersinvoer wordt niet voldoende gecontroleerd of opgeschoond, waardoor kwaadaardige scripts in jouw website worden geïnjecteerd
- Hardgecodeerde toegangsgegevens: API-sleutels, wachtwoorden en tokens worden direct in de broncode geschreven en zijn daarmee zichtbaar voor iedereen met bestandstoegang
- Authenticatiefouten: ontbrekende of gebrekkige toegangscontrole waardoor onbevoegden acties kunnen uitvoeren
AI-tools reproduceren patronen uit hun trainingsdata. Als die data beveiligingslekken bevat, en dat is ruimschoots het geval, dan reproduceert de AI die lekken ook.
Code die werkt is niet hetzelfde als code die veilig is
Dit is het fundamentele misverstand. Je test de plugin, hij werkt precies zoals bedoeld. De offerte wordt verstuurd, de berekening klopt, het formulier slaat op. Alles in orde.
Maar veiligheid test je niet door de functionaliteit te gebruiken. Een SQL-injectie in een invoerveld valt niet op als je gewone tekst invult. Een hardgecodeerde API-sleutel in je plugin-code valt niet op totdat iemand je serverbestanden leest. Een ontbrekende autorisatiecheck valt niet op totdat iemand die bewust omzeilt.
AI weet niet wat jouw beveiligingseisen zijn. Het schrijft code die de opgegeven functie uitvoert. Beveiligingsmaatregelen die je niet expliciet vraagt, worden vaak niet ingebouwd.
Niemand is eigenaar van de code, en dat is een groeiend probleem
Traditioneel geschreven software heeft een eigenaar: de ontwikkelaar die de code begrijpt, onderhoudt en updates doorvoert als er een kwetsbaarheid wordt gevonden. AI-gegenereerde code heeft dat niet.
Wat betekent dat in de praktijk?
- Als er een beveiligingslek wordt gevonden, is er niemand die weet hoe de code werkt
- Updates in WordPress of andere plugins kunnen de AI-code breken zonder dat iemand dit direct merkt
- Uitbreidingen vereisen opnieuw AI-input, en die nieuwe code begrijpt de context van de oude code niet volledig
- Bij een incident is forensisch onderzoek veel moeilijker. De stappen die je normaal doorloopt als je WordPress website gehackt is worden extra gecompliceerd als er geen codebasis, documentatie of versiehistorie is
Dit is de stille tijdbom in AI-gegenereerde plugins: ze werken vandaag, maar niemand is verantwoordelijk voor morgen.
Schaalbaarheid: wat werkt voor 100 bezoekers, crasht bij 10.000
AI-tools optimaliseren voor functionaliteit, niet voor prestaties op schaal. Een plugin die prima werkt bij een kleine website kan ernstige problemen veroorzaken als jouw bedrijf groeit:
- Database-queries die niet geoptimaliseerd zijn: werken prima bij 100 records, maar trekken de server omver bij 100.000
- Ontbrekende caching-mechanismen die bij elk paginaverzoek dezelfde zware berekening herhalen
- Geen rekening gehouden met gelijktijdige gebruikers: wat met één gebruiker werkt, faalt bij 50 tegelijkertijd
- Memory leaks die pas opvallen als de server weken lang draait
Voor bedrijfskritische processen zoals reserveringssystemen, betalingskoppelingen en voorraadbeheersystemen zijn dit geen hypothetische problemen. Dit zijn de oorzaken van uitval op het moment dat het er het meest toe doet.
Bedrijfskritische processen op onbeheerde code
De gevaarlijkste trend die we zien: bedrijven die processen die echt cruciaal zijn voor hun bedrijfsvoering, bouwen op AI-gegenereerde code. Een WooCommerce-koppeling met het ERP. Een custom boekingssysteem. Een facturatiemodule.
Dit werkt, totdat het niet werkt. En als het niet werkt, heb je een probleem zonder eigenaar. Geen developer die de code kent, geen documentatie, geen onderhoud. Herstel vereist dan niet alleen technische kennis van WordPress, maar ook van een codebasis die door een AI is gegenereerd en door niemand volledig begrepen wordt.
WordPress specifiek: waarom dit platform extra kwetsbaar is
WordPress is het meest aangevallen CMS ter wereld, juist omdat het zo wijdverspreid is. In 2025 werden er 11.334 nieuwe kwetsbaarheden gevonden in het WordPress-ecosysteem, 42% meer dan het jaar ervoor. 92% van alle hacks begon via plugins of thema's, niet via de WordPress-kern. Het is daarom van belang hoe je problemen met je WordPress website zo snel mogelijk herkent.
AI-gegenereerde plugins voegen een nieuwe risicolaag toe aan dit al kwetsbare landschap:
- Ze zijn niet gecontroleerd door de WordPress Plugin Directory; er is geen handmatige code-review
- Ze ontvangen geen automatische beveiligingsupdates
- Ze volgen niet per definitie de WordPress Coding Standards, die veiligheidsrichtlijnen bevatten
- Ze zijn onbekend bij beveiligingsscanners die op bekende plugins controleren
Een aanvaller die ontdekt dat jouw website een onbekende, niet-bijgehouden plugin draait, weet dat er waarschijnlijk niemand actief naar kwetsbaarheden kijkt. Dat maakt het een interessant doelwit.
De echte kosten van 'goedkope' AI-code
De initiële kosten van AI-gegenereerde code zijn laag. Dat is waar. Maar de totale kostprijs over de levensduur van de software is een ander verhaal.
Denk aan:
- Herstelkosten bij een hack: voor een WordPress website gemiddeld enkele honderden euro's en voor een bedrijfskritische applicatie met datalek potentieel duizenden
- AVG-boetes bij een datalek als gevolg van een beveiligingslek in zelfgebouwde code, tot 4% van de jaarlijkse wereldwijde omzet
- Omzetverlies bij uitval: een webshop die een dag offline is kost directe omzet en klantvertrouwen
- Heronstwikkelingskosten als blijkt dat de AI-code niet schaalbaar is; dan begint het hele traject opnieuw
- Reputatieschade als klantgegevens uitlekken via een kwetsbaar AI-gebouwd formulier of koppeling
Goedkoop is duur als je de risicotermijn meeneemt.
Wanneer is AI-gegenereerde code wél verantwoord?
AI is een krachtig hulpmiddel in de handen van iemand die weet wat hij doet. De risico's zijn niet inherent aan AI, maar aan ongecontroleerde en onbeheerde code.
AI-code is verantwoord als:
- Een ervaren developer de output beoordeelt op beveiliging, prestaties en onderhoudbaarheid
- De code niet staat op bedrijfskritische processen of gevoelige data
- Er een eigenaar is die de code begrijpt, bijhoudt en kan aanpassen
- Er een beveiligingsscan plaatsvindt vóór productie-implementatie
- Updates en monitoring zijn ingericht voor de levensduur van de code
AI-code is een startpunt, geen eindproduct. De kwaliteitscontrole die bij professionele softwareontwikkeling hoort, is nog steeds noodzakelijk, ook als de eerste versie door een AI is geschreven.
Wat kun je nu doen?
Heb je al AI-gegenereerde plugins, scripts of extensies op je WordPress website staan? Dan zijn dit de concrete stappen:
- Inventariseer welke AI-code er op je website staat: zelfgebouwde plugins, custom scripts in functions.php en externe koppelingen
- Laat de code beoordelen door een WordPress-specialist die naar veiligheid kijkt, niet alleen naar functionaliteit
- Controleer of er gevoelige gegevens (API-sleutels, wachtwoorden) hardgecodeerd staan in de code
- Richt monitoring in zodat je weet wanneer er iets verandert of misgaat
- Maak een plan voor wie de code onderhoudt als er een beveiligingsupdate nodig is
Overweeg je nieuwe functionaliteit te laten bouwen met AI? Bespreek dan vooraf met een developer hoe de output wordt beoordeeld en wie eigenaarschap neemt over de code op de lange termijn.
AI-code op je WordPress website? Laat het controleren.
Wij scannen jouw WordPress website op kwetsbaarheden in plugins, scripts en custom code, inclusief AI-gegenereerde bestanden. Vaste prijs €199, no cure no pay.
