Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
WordPress 28.05.2026 · 2 min Lesezeit

WordPress: Auth-Bypass im Burst-Statistics-Plugin wird ausgenutzt

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Browser mit Statistik-Dashboard – Symbolbild für WordPress-Plugin-Lücke

Eine kritische Authentifizierungs-Bypass-Lücke im WordPress-Plugin Burst Statistics wird seit Mitte Mai aktiv ausgenutzt. Angreifer verschaffen sich über das Datenschutz-orientierte Analyse-Plugin Administrator-Zugriff auf betroffene Sites. Mehr als 200.000 aktive Installationen sind potentiell betroffen. Der Hersteller hat am 12. Mai 2026 die fixende Version 3.4.2 veröffentlicht.

Worum es konkret geht

Burst Statistics positioniert sich als datenschutzfreundliche Alternative zu Google Analytics innerhalb von WordPress – keine Cookies, keine externen Server, alles im eigenen Backend. Die jetzt geschlossene Lücke ist klassischer Auth-Bypass: Über eine Schwachstelle in der Rollen-/Berechtigungs-Verifikation lässt sich ohne gültige Anmeldung administrativ handeln. In den ersten beobachteten Angriffen legen die Angreifer schlicht ein neues Admin-Konto an und übernehmen damit die Site.

Mit einem Admin-Account ist auf einer WordPress-Site alles möglich: Schadcode in das Theme einbetten, SEO-Spam einbauen, Backdoors über bösartige Plugins installieren oder den Domain-Reputation für Phishing-Kampagnen ausschlachten. Gerade Sites, die seit längerem nicht aktiv betreut werden, sind eine bevorzugte Beute, weil das Eindringen lange unbemerkt bleibt.

Was Site-Betreiber jetzt tun sollten

  1. Burst Statistics auf 3.4.2 oder neuer aktualisieren – über das WordPress-Backend oder via WP-CLI: wp plugin update burst-statistics.
  2. Benutzerliste im Backend auf neue, unbekannte Admin-Konten prüfen. Verdächtige Konten erst deaktivieren, dann nach Forensik löschen.
  3. Inhalt der letzten 14 Tage auf neue Theme-Dateien, veränderte wp-config.php, neu hinzugefügte Plugins durchsehen.
  4. Audit-Plugin (z.B. WP Activity Log) temporär scharfschalten, falls noch nicht im Einsatz.
  5. Bei aktiver Kompromittierung: vollständige Wiederherstellung aus Backup vor dem Vorfall, danach saubere Update-Runde.

Für WordPress-Agenturen und Hosting-Provider mit Wartungs-Verträgen ist die Lücke ein klassischer Wakeup-Call: Plugin-Updates müssen automatisiert eingespielt werden, gerade bei Analytics- und Cache-Plugins mit großem Marktanteil. Wer das händisch und quartalsweise macht, wird zwangsläufig hinterherlaufen.

Mehr aus dem WordPress-Umfeld: News aus der Kategorie WordPress

Quelle: BleepingComputer – Hackers exploit auth bypass flaw in Burst Statistics WordPress plugin