#Hosting · 3 Min. Lesezeit · Tim Rinkel

WEBSEITEN-GAU! Diese WordPress-Lücke schenkt Hackern JETZT ein Admin-Konto — 3.600 Angriffe am Tag

WEBSEITEN-GAU! Diese WordPress-Lücke schenkt Hackern JETZT ein Admin-Konto — 3.600 Angriffe am Tag

Hast du eine Karte auf deiner WordPress-Seite? Dann lies jetzt weiter. Im beliebten Plugin WP Maps Pro klafft eine kritische Lücke, und Angreifer nutzen sie bereits in der Breite aus. Die Sicherheitsfirma Wordfence hat an einem einzigen Tag rund 3.600 Angriffsversuche blockiert. Das Plugin wurde über den Envato-Marktplatz mehr als 15.000-mal verkauft.

SO kapern Hacker deine Seite

Die Schwachstelle CVE-2026-8732 ist eine sogenannte Privilege Escalation: Ein nicht angemeldeter Angreifer kann über das Plugin ein frisches WordPress-Konto mit Administrator-Rechten anlegen. Kein Passwort, kein Login, keine Hürde. Wer ein Admin-Konto hat, kontrolliert die komplette Seite — und kann Schad-Plugins installieren, Inhalte ändern, die Nutzerdatenbank abgreifen oder Schadcode einbetten.

SCHOCK: Warum CVSS 9.8 hier nicht übertrieben ist

Admin-Übernahmen sind der Albtraum jedes Seitenbetreibers. Anders als bei einer reinen Spam-Lücke verlieren Betroffene die komplette Kontrolle. Und weil der Angriff automatisiert läuft, scannen Bots gerade massenhaft das Netz nach verwundbaren Installationen. Gepatcht ist die Lücke in Version 6.1.1, die der Hersteller am 20. Mai 2026 veröffentlicht hat.

SO sicherst du dich ab

1. Update zuerst. Aktualisiere WP Maps Pro umgehend auf 6.1.1 oder neuer. Findest du das Update nicht im Dashboard, lade es aus deinem Envato-Konto neu herunter.

2. Nach Eindringlingen suchen. Geh in Benutzer → Alle Benutzer und filtere nach der Rolle „Administrator“. Steht da ein Konto, das du nicht kennst, lösche es und prüfe die letzten Änderungen an Plugins und Themes.

3. Aufräumen. Ändere alle Admin-Passwörter, erneuere die WordPress-Sicherheitsschlüssel (Salts) und wirf einen Blick in die Datei wp-content nach frisch hochgeladenen PHP-Dateien.

Extra-Tipp: Brauchst du das Karten-Plugin gerade nicht aktiv, deaktiviere es lieber, bis du sicher auf der gepatchten Version bist. Ein abgeschaltetes Plugin kann nicht angegriffen werden.

Häufige Fragen

Welche Versionen sind betroffen?
Verwundbar sind alle WP-Maps-Pro-Versionen vor 6.1.1. Der Hersteller hat den Fix am 20. Mai 2026 ausgeliefert. Wer das Plugin über Envato gekauft hat, findet die aktualisierte Version im eigenen Käuferkonto.
Wie merke ich, ob meine Seite verwundbar ist?
Schau im Dashboard unter Plugins nach der installierten WP-Maps-Pro-Version. Liegt sie unter 6.1.1, ist die Seite angreifbar. Prüfe zusätzlich die Benutzerliste auf Administrator-Konten, die du nicht selbst angelegt hast.
Wie behebe ich das Problem konkret?
Aktualisiere zuerst auf 6.1.1 oder neuer. Lösche danach unbekannte Admin-Konten, ändere alle Admin-Passwörter, erneuere die WordPress-Salts und suche in wp-content nach unerwarteten PHP-Dateien.
Gab es schon aktive Angriffe?
Ja, und zwar massiv. Wordfence meldete rund 3.600 Angriffsversuche an einem einzigen Tag. Automatisierte Bots scannen derzeit gezielt nach Seiten mit der verwundbaren Plugin-Version.

Quellen: The Hacker News, TechRadar.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert