#Netzwerk & Sicherheit · 3 Min. Lesezeit · Tim Rinkel

BACKUP-GAU! Diese WordPress-Lücke schenkt Hackern dein Admin-Konto — 3 MILLIONEN Seiten in Gefahr

BACKUP-GAU! Diese WordPress-Lücke schenkt Hackern dein Admin-Konto — 3 MILLIONEN Seiten in Gefahr

Es ist ausgerechnet das Plugin, das deine Daten sichern soll: In UpdraftPlus, einem der beliebtesten Backup-Plugins für WordPress, klafft eine kritische Lücke. Über drei Millionen Webseiten nutzen das Tool — und Angreifer haben bereits losgelegt. So schützt du deine Seite in Minuten.

SCHOCK: Was genau passiert ist

Die Schwachstelle trägt die Kennung CVE-2026-10795 und ist ein unauthentifizierter Authentifizierungs-Bypass. Im Klartext: Ein Angreifer braucht weder Login noch Passwort. Schuld ist eine unzureichende Prüfung des Nachrichtenformats bei der Fern-Kommunikation des Plugins — die Signaturprüfung lässt sich aushebeln, und ein ungeprüfter Entschlüsselungs-Rückgabewert fällt auf einen vorhersehbaren, komplett aus Nullen bestehenden Schlüssel zusammen.

Das Ergebnis ist hochgefährlich: Angreifer können Befehle als Administrator ausführen, eigene Schad-Plugins hochladen und aktivieren — und damit am Ende kompletten Code auf deinem Server ausführen (Remote Code Execution). Damit gehört die Seite faktisch dem Angreifer.

GEFAHR: Wer wirklich verwundbar ist

Betroffen sind alle Versionen bis einschließlich 1.26.4. Die Entwarnung: Bestätigt verwundbar sind nur Seiten mit einem aktiven Migrator-Key oder UpdraftCentral-Key. Wenn du eines dieser Features nutzt, bist du im Risiko-Bereich — und solltest sofort handeln.

Dass es ernst ist, zeigen die Zahlen: Die Sicherheitsfirma Wordfence meldete, allein in 24 Stunden fast 5.000 Angriffe auf diese Lücke blockiert zu haben. Einige große Hoster haben ihre Kundenseiten bereits automatisch gepatcht.

So rettest du deine Seite in 5 MINUTEN

Die Lösung ist einfach: Aktualisiere UpdraftPlus auf Version 1.26.5 oder neuer. Das geht in WordPress unter Plugins → Installierte Plugins mit einem Klick auf Aktualisieren. Wer Auto-Updates aktiviert hat, ist meist schon versorgt — kontrolliere trotzdem die installierte Version.

EXTRA-TIPP: Prüfe nach dem Update, ob unbekannte Plugins oder Admin-Konten aufgetaucht sind. Genau das ist der typische Fußabdruck nach einer erfolgreichen Übernahme. Im Zweifel ein sauberes Backup von vor dem Angriffszeitraum einspielen.

Häufige Fragen

Welche Versionen sind betroffen?
Verwundbar sind alle UpdraftPlus-Versionen bis einschließlich 1.26.4. Behoben ist das Problem in Version 1.26.5. Bestätigt ausnutzbar ist die Lücke jedoch nur auf Seiten mit einem aktiven Migrator-Key oder UpdraftCentral-Key.
Wie merke ich, ob meine Seite verwundbar ist?
Schau in WordPress unter Plugins nach der installierten UpdraftPlus-Version. Liegt sie bei 1.26.4 oder darunter und nutzt du Migrator oder UpdraftCentral, bist du im Risiko-Bereich. Prüfe zusätzlich auf unbekannte Plugins und neue Admin-Konten.
Wie behebe ich das Problem konkret?
Aktualisiere UpdraftPlus auf 1.26.5 oder neuer — über Plugins, Aktualisieren in deinem WordPress-Dashboard. Danach solltest du die Seite kurz auf verdächtige Änderungen kontrollieren. Das Update schließt die Lücke vollständig.
Gab es schon aktive Angriffe?
Ja. Die Sicherheitsfirma Wordfence berichtete, innerhalb von 24 Stunden fast 5.000 Angriffsversuche auf diese Schwachstelle blockiert zu haben. Schnelles Handeln ist daher dringend zu empfehlen.

Quellen: Search Engine Journal, Dataconomy, SecurityOnline, Wordfence, SiteGround, Malware.news.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert