Wer eine WordPress-Seite betreibt, sollte JETZT kurz innehalten: Eine kritische Lücke im beliebten Plugin Kirki lässt Angreifer komplette Admin-Konten kapern — ganz ohne Login. Und sie wird bereits aktiv ausgenutzt.
GEFAHR: Ein Passwort-Reset reicht
Die Lücke CVE-2026-8206 steckt im Passwort-Reset des Plugins. Normalerweise schickt WordPress den Reset-Link an die hinterlegte Mail-Adresse. Bei Kirki konnte ein Angreifer aber einfach seine eigene Mail-Adresse angeben — solange er einen gültigen Benutzernamen kannte. Das System schickte den Reset brav an den Angreifer.
Das Ergebnis: Mit dem Admin-Benutzernamen — der oft öffentlich sichtbar ist — übernimmt ein Fremder das höchste Konto der Seite. CVSS-Wert: 9.8 von 10. Höher geht es praktisch nicht.
SCHOCK: 500.000 Seiten in Reichweite
Betroffen sind die Plugin-Versionen 6.0.0 bis 6.0.6. Insgesamt ist Kirki auf über 500.000 Seiten installiert, rund 150.000 davon gelten als akut verwundbar. Die Sicherheitsfirma Defiant meldet, dass ihre Wordfence-Firewall allein in 24 Stunden über 222 Angriffsversuche blockte.
So rettest du deine Seite in 5 MINUTEN
Die gute Nachricht: Der Patch ist da. Wordfence meldete die Lücke am 15. Mai, drei Tage später erschien Kirki 6.0.7. So gehst du vor:
- Update sofort: Im WordPress-Backend unter Plugins auf 6.0.7 oder neuer aktualisieren.
- Admin-Konten prüfen: Unter „Benutzer“ alle Konten mit Administrator-Rolle durchgehen — kennst du jedes?
- Passwörter neu setzen und alle aktiven Sitzungen abmelden.
- Logs checken: Auffällige Passwort-Reset-Anfragen der letzten Wochen anschauen.
FAZIT
Plugins sind das Einfallstor Nummer eins bei WordPress. Wer Kirki nutzt, sollte nicht bis morgen warten — die Angriffe laufen bereits. 5 Minuten Update jetzt sparen dir den Totalverlust deiner Seite.