Kategorie: WordPress
WordPress betreibt einen riesigen Teil des Webs – und ist im Mittelstand oft die erste Wahl für eigene Seiten. Hier findest du Anleitungen, Tipps und Tricks rund um WordPress: von der sauberen Installation über Plugin- und Theme-Auswahl bis zu Pflege, Sicherheit und Performance. Praxisnah und verständlich erklärt. · 12 Beiträge
WordPress-Supply-Chain-Angriff: OptinMonster-Kompromittierung gefährdet 1,2 Millionen Websites
Am 13. Juni 2026 deckte Sansec einen aktiven Supply-Chain-Angriff auf die WordPress-Plugins OptinMonster, TrustPulse und PushEngage auf. Angreifer erlangten Zugriff auf das BunnyNet-CDN-Konto des Anbieters Awesome Motive und injizierten bösartigen JavaScript-Code in legitime SDK-Dateien. Das injizierte Skript wartet auf eingeloggte Administratoren, erstellt versteckte Admin-Konten und installiert ein unsichtbares Backdoor-Plugin. Betreiber betroffener WordPress-Seiten müssen dringend handeln.
PCI DSS 4.0.1: Checkout-Skripte als Sicherheitsrisiko - was Admins jetzt prüfen müssen
The Hacker News, PCI Council und SecurityWeek: PCI DSS 4.0.1 macht CSP, SRI und Script-Inventar zur Pflicht. Technische Maßnahmen gegen Magecart.
Gravity SMTP: Unauthentifizierte Lücke leakt API-Schlüssel und Systemdaten WordPress-Sites
Das WordPress-Plugin Gravity SMTP mit 100.000 Installationen hat eine unauthentifizierte REST-API-Lücke, die vollständige Systemberichte inklusive API-Schlüssel und OAuth-Tokens preisgibt. Wordfence zählte 17 Millionen Ausnutzungsversuche.
WordPress-Sicherheit: Plugin-Risiken brauchen feste Update- und Prüfprozesse
WordPress bleibt durch seine Plugin-Landschaft ein häufiges Angriffsziel. Betreiber sollten Updates, Rechte, Backups und Plugin-Auswahl konsequent prüfen.
Everest Forms Pro CVE-2026-3300: CVSS 9.8 – aktive Angriffswelle auf WordPress-Sites
Eine kritische RCE-Lücke im WordPress-Plugin Everest Forms Pro (CVSS 9.8) wird aktiv ausgenutzt. Über 29.300 Angriffsversuche wurden bereits blockiert. Betreiber sollten sofort auf Version 1.9.13 aktualisieren und ihre Installationen auf verdächtige Admin-Accounts prüfen.
WordPress Everest Forms Pro: Kritische RCE-Lücke CVE-2026-3300 (CVSS 9.8) aktiv ausgenutzt
Angreifer nutzen aktiv eine kritische Remote-Code-Execution-Lücke (CVE-2026-3300, CVSS 9.8) im WordPress-Plugin Everest Forms Pro aus. Alle Versionen bis 1.9.12 sind betroffen, rund 4.000 Installationen bleiben ungepatcht. Update auf Version 1.9.13 ist sofort erforderlich.
WordPress-Plugin Kirki: CVE-2026-8206 ermöglicht Admin-Übernahme auf 500.000+ Websites
Kritische Lücke CVE-2026-8206 (CVSS 9.8) im WordPress-Plugin Kirki: Unauthentifizierte Angreifer übernehmen Admin-Konten via manipuliertem Passwort-Reset. Über 500.000 Installationen betroffen – Patch auf Version 6.0.7 sofort einspielen.
WP Maps Pro (CVE-2026-8732): Kritische Lücke erlaubt Admin-Übernahme - über 15.800 Sites in Gefahr
Eine kritische Lücke (CVE-2026-8732, CVSS 9.8) im WordPress-Plugin WP Maps Pro erlaubt Angreifern ohne Anmeldung, Administrator-Konten anzulegen. Wordfence meldet aktive Angriffe - Patch 6.1.1 steht bereit.
WP Maps Pro: Kritische Lücke CVE-2026-8732 erlaubt Admin-Übernahme ohne Authentifizierung
Eine kritische Schwachstelle (CVSS 9.8) im WordPress-Plugin WP Maps Pro erlaubt unauthentifizierten Angreifern, Administrator-Konten zu erstellen. Die Lücke wird bereits aktiv ausgenutzt. Patch ist seit Version 6.1.1 verfügbar.
Offizielles WordPress-Plugin verbindet Blogs direkt mit Bluesky und AT Protocol
Mit dem neuen ATmosphere-Plugin können WordPress-Inhalte direkt in das AT Protocol und nach Bluesky publiziert werden. Damit wächst eine echte, dezentrale Alternative zu klassischen Social-Plugins.