#Hosting · 3 Min. Lesezeit · Tim Rinkel

WORDPRESS-LECK! Really Simple Security oeffnet JETZT 4 MILLIONEN Sites — DEIN Admin-Login wird zum Selbstbedienungsladen

WORDPRESS-LECK! Really Simple Security oeffnet JETZT 4 MILLIONEN Sites — DEIN Admin-Login wird zum Selbstbedienungsladen

Ein WordPress-Plugin, das eigentlich SCHUETZEN soll, hat 4 Millionen Sites weit aufgerissen. Really Simple Security (frueher Really Simple SSL) hat eine Auth-Bypass-Luecke. CVE-2024-10924, CVSS 9.8, kein Witz. Wer das Plugin nutzt und nicht patcht, kann SOFORT zum Opfer werden.

SCHOCK: Anmelden ohne Passwort

Die Luecke sitzt im 2-Faktor-Authentication-Modul des Plugins. Ein nicht authentifizierter Angreifer kann sich als jeder Nutzer einloggen — auch als Admin. Voraussetzung: 2FA ist im Plugin aktiviert. Genau die Funktion, die mehr Sicherheit bringen sollte, wird zum Einfallstor.

Wordfence-Forscher haben den Bug entdeckt. Patchstack hat zeitnah Massenwarnungen rausgeschickt. Auf der Statistik-Skala der Luecken-Datenbank ist das ein klares „kritisch“ — das Plugin laeuft auf rund 4 Millionen aktiven Installationen.

BETROFFEN sind diese Versionen

  • Really Simple Security 9.0.0 bis 9.1.1 (Free, Pro, Pro Multisite).
  • Sites ohne 2FA-Modul-Aktivierung sind nominell sicher — checke aber trotzdem.

Fix in 9.1.2 und neuer. Das Plugin-Team hat einen forcierten Auto-Update-Push bei wp.org angefragt — viele Sites werden also automatisch hochgezogen.

So checkst du DEINE Site in 60 SEKUNDEN

  1. Logg dich als Admin ein.
  2. Geh auf Plugins › Installierte Plugins.
  3. Suche „Really Simple Security“.
  4. Versionsnummer kleiner 9.1.2? Sofort updaten.
  5. Anschliessend in Benutzer › Alle Benutzer nach unbekannten Admin-Konten suchen.

Forensik-Tipp: Logs checken

Auch nach dem Update solltest du pruefen, ob du schon Opfer warst:

  • Audit-Logs des Plugins anschauen (falls aktiv).
  • WordPress-Login-Logs auf fremde IP-Logins in den letzten 7 Tagen filtern.
  • Datei-Aenderungen pruefen — Plugin- und Theme-Verzeichnis vergleichen mit Originalen.
  • Cron-Tasks scannen: wp_cron-Liste sollte keine unbekannten Hooks enthalten.

EXTRA-TIPP: Wenn dein Hoster Web Application Firewall mitbringt (etwa ALL-INKL Sicherheitspaket oder Cloudflare WAF), aktiviere die „OWASP Auth Bypass“-Regel. Damit blockst du den Exploit auf Kanten-Ebene, auch wenn das Plugin noch alt ist.

FAZIT: WP-Plugin-Sicherheit bleibt der grosse Schwachpunkt

WordPress-Core ist vergleichsweise stabil. Plugins sind das Problem. Wer eine Site mit 20+ Plugins betreibt, sollte JETZT eine Audit-Liste fuehren: welche Plugins, welche Versionen, welche Updates verfuegbar. Bei Plugins mit weniger als 100k Installs faellt die Wartungsdichte erfahrungsgemaess.

Haeufige Fragen

Welche Versionen sind betroffen?
Really Simple Security 9.0.0 bis 9.1.1, sowohl Free- als auch Pro- und Pro-Multisite-Variante. Aelter als 9.0.0 ist nicht betroffen. Ab 9.1.2 ist die Luecke geschlossen.
Wie merke ich, ob mein System verwundbar ist?
Plugin-Liste oeffnen, Versionsnummer Really Simple Security pruefen. Liegt sie unter 9.1.2, ist die Site potenziell anfaellig — und besonders dann, wenn das Plugin-eigene 2-Faktor-Modul aktiviert ist.
Wie behebe ich das Problem konkret?
Plugin auf 9.1.2 oder neuer updaten, Admin-Konten und API-Keys rotieren, neue Admin-Konten in der Benutzerliste pruefen, dann Login-Logs nach unbekannten IPs durchsuchen. Bei Verdacht: Site aus Backup wiederherstellen.
Gab es schon aktive Angriffe?
Ja. Wordfence-Telemetrie meldet Versuche auf eigenen Honeypot-Sites kurz nach Veroeffentlichung der CVE. Massenscans gegen WordPress-Sites mit aktivem Plugin sind dokumentiert.

Quellen: SecurityWeek: Critical Plugin Flaw Exposed 4 Million WordPress Websites, Patchstack: 2025/2026 WordPress Security Report, DarkReading: Critical Site Takeover Flaw.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert