Eine neue Angriffswelle auf WordPress-Websites sorgt derzeit für Aufmerksamkeit. Im Zentrum steht dabei nicht WordPress selbst, sondern das Plugin Everest Forms Pro. Über eine kritische Sicherheitslücke können Angreifer ohne Login vollständige Kontrolle über betroffene Websites erlangen.

Die Schwachstelle mit der Kennung CVE-2026-3300 wird bereits aktiv ausgenutzt und das in großem Stil. Wordfence berichtete kürzlich von zehntausenden Angriffen innerhalb kurzer Zeit.

Kritische WordPress-Sicherheitslücke (CVE-2026-3300) im Everest Forms Pro Plugin

Die Sicherheitslücke betrifft Versionen 1.9.12 und älter des Plugins Everest Forms Pro, einer kommerziellen Erweiterung des Formular-Plugins Everest Forms. Dieses Plugin wird häufig genutzt, um Kontaktformulare, Registrierungen oder Zahlungsformulare in Websites einzubinden.

Das Problem liegt in einer Funktion, die eigentlich harmlose Berechnungen innerhalb von Formularen durchführen soll. Diese „Complex Calculation“-Funktion verarbeitet Nutzereingaben und baut daraus dynamisch PHP-Code zusammen.

Genau hier entsteht die Schwachstelle: Dieser erzeugte Code wird anschließend direkt auf dem Server ausgeführt.

Wie der Angriff funktioniert: Wenn aus einem Formular Code wird

Im Kern basiert die Lücke auf einem gefährlichen Mechanismus: Der Server übernimmt Eingaben aus einem Formular und verarbeitet sie mit der PHP-Funktion eval().

Obwohl Eingaben gefiltert werden, ist diese Filterung unvollständig. Bestimmte Zeichen – insbesondere einfache Anführungszeichen – werden nicht ausreichend behandelt. Dadurch können Angreifer die ursprüngliche Programmlogik „brechen“ und eigenen Code einschleusen.

Das Ergebnis: Ein harmloses Formularfeld wird zum Einfallstor für vollständige Serverkontrolle.

Ein typischer Angriff läuft in mehreren Schritten ab:

• Der Angreifer sendet manipulierte Daten über ein Formular
• Die Daten werden in PHP-Code eingebaut
• Der Code wird auf dem Server ausgeführt
• Ein neuer Administrator wird erstellt

Besonders auffällig: In vielen Fällen wird ein Admin-Konto mit dem Namen „diksimarina“ angelegt – ein wiederkehrendes Muster, das Sicherheitsforscher als eindeutigen Hinweis auf laufende Angriffe sehen.

Angriff in der Praxis: Tausende Versuche in kurzer Zeit

Laut Telemetriedaten des Sicherheitsunternehmens Wordfence wird die Schwachstelle bereits aktiv ausgenutzt. Die Firewall hat dabei über 29.000 Angriffsversuche blockiert.

Auffällig ist zudem, dass die Angriffe nicht breit verteilt aus vielen Quellen kommen, sondern überwiegend von wenigen IP-Adressen ausgehen, darunter:

• 202.56.2.126
• 209.146.60.26
• 15.235.166.18
• 2402:1f00:8000:800::40db
• 185.78.165.153

Das deutet auf eine koordinierte Kampagne hin, bei der automatisierte Skripte gezielt verwundbare Websites abklappern.

Warum WordPress nicht das Problem ist, sondern Plugins

Ein zentraler Punkt wird in der öffentlichen Diskussion oft missverstanden: WordPress selbst ist in diesem Fall nicht die Schwachstelle. Das eigentliche Problem liegt in einem Plugin, das zusätzliche Funktionen in Websites einbaut – hier ein komplexes Berechnungssystem für Formulare.

Plugins erweitern WordPress enorm und sind der Grund, warum das System so flexibel ist. Gleichzeitig sind sie aber auch der häufigste Angriffsvektor. Der Grund ist einfach: Je mehr Zusatzfunktionen ein Plugin bietet, desto mehr komplexer Code entsteht – und desto höher ist die Wahrscheinlichkeit von Sicherheitslücken.

Die Everest-Forms-Pro-Lücke zeigt genau dieses Muster: Eine scheinbar harmlose Zusatzfunktion wird zur vollständigen Kontrollübernahme missbraucht.

Von Formularen zu vollständiger Kontrolle: Was Angreifer erreichen können

Sobald ein Angreifer Administratorrechte erlangt, ist die Website praktisch verloren. Mögliche Folgen:

• Einbau von Hintertüren (Backdoors)
• Manipulation von Inhalten
• Installation schädlicher Plugins oder Themes
• Zugriff auf Datenbanken und Kundendaten
• Weiterverbreitung von Malware an Besucher

In vielen Fällen bleibt der Angriff zunächst unbemerkt, weil die Website weiterhin normal funktioniert – nur unter fremder Kontrolle.

Patch ist seit Monaten vorhanden, wurde aber nicht überall installiert

Die Schwachstelle wurde bereits im Februar von einem Forscher gemeldet und im März 2026 durch ein Update geschlossen. Doch wie so oft im WordPress-Ökosystem ist das eigentliche Problem nicht der Patch selbst, sondern seine Verbreitung. Viele Websites werden nicht regelmäßig aktualisiert, besonders wenn Plugins lange installiert sind und „einfach funktionieren“. Genau diese Seiten werden nun systematisch angegriffen.

Angriffsmuster zeigt professionelle Automatisierung

Die hohe Anzahl der Angriffe in kurzer Zeit sowie die klare Wiedererkennbarkeit der eingesetzten Muster deuten auf automatisierte Angriffs-Tools hin.

Besonders bemerkenswert ist die Kombination aus:

• gezieltem Scanning verwundbarer Websites
• standardisierten Payloads (z. B. Admin-Erstellung)
• wiederkehrenden IP-Adressen
• klar identifizierbaren Account-Namen

Das spricht für eine Kampagne, die nicht zufällig einzelne Seiten trifft, sondern systematisch nach verwundbaren Installationen sucht.

Die unsichtbare Gefahr steckt im Plugin-Code

Der Fall CVE-2026-3300 zeigt einmal mehr, wie fragil das Sicherheitsmodell moderner Websites sein kann. WordPress selbst bleibt stabil und sicher – doch seine größte Stärke, die Erweiterbarkeit durch Plugins, ist gleichzeitig seine größte Angriffsfläche.

Die eigentliche Lehre ist daher nicht „WordPress ist unsicher“, sondern:

Jede zusätzliche Erweiterung vergrößert die Angriffsfläche – und ein einziges unsicheres Plugin kann eine ganze Website kompromittieren.

Wer Websites betreibt, sollte deshalb nicht nur auf Updates des Systems achten, sondern besonders auf die Qualität, Wartung und Sicherheit jeder einzelnen Erweiterung.