Kritische WordPress-Sicherheitslücke: Millionen Websites potenziell gefährdet
Am 17. Juli 2026 wurde eine WordPress-Sicherheitslücke in Form von zwei gravierenden Schwachstellen im WordPress-Core entdeckt, die sich miteinander kombinieren lassen und unter bestimmten Bedingungen eine Ausführung von Schadcode ermöglichen. Betroffen sind auch Standardinstallationen ohne zusätzliche Plugins. Die Sicherheitslücken wurden inzwischen geschlossen. Wer jedoch noch eine verwundbare Version einsetzt, sollte jetzt schnell handeln und seine Installationen umgehend überprüfen.
Die beiden Schwachstellen können zu einem gefährlichen Angriff führen
Die Sicherheitslücke besteht aus zwei voneinander unabhängigen Fehlern im WordPress-Core:
CVE-2026-63030: Fehler in der Verarbeitung von Batch-Anfragen der WordPress-REST-API
CVE-2026-60137: SQL-Injection im WordPress-Core
Für sich genommen stellen beide Schwachstellen bereits ein Sicherheitsrisiko dar. In Kombination können sie es einem nicht angemeldeten Angreifer ermöglichen, Schadcode auf einem Server auszuführe, ohne ein Benutzerkonto auf der Website zu besitzen. Besonders problematisch ist, dass sich der Fehler direkt im WordPress-Kern befindet. Zusätzliche Plugins oder Themes müssen für einen erfolgreichen Angriff nicht vorhanden sein.
Welche WordPress-Versionen sind betroffen?
Nicht alle WordPress-Versionen sind gleichermaßen gefährdet. Hier eine Übersicht:
Vollständige Remote-Code-Ausführung (RCE)
Die kritische Angriffskette betrifft:
WordPress 6.9.0 bis 6.9.4
WordPress 7.0.0 bis 7.0.1
Die Sicherheitsupdates wurden bereits unter https://de.wordpress.org/download/releases veröffentlicht:
WordPress 6.9.5
WordPress 7.0.2
SQL-Injection
Die Versionen 6.8.0 bis 6.8.5 enthalten die SQL-Injection. Diese wurde mit WordPress 6.8.6 behoben.
Warum ist diese Schwachstelle so kritisch?
Normalerweise benötigen Angreifer einen gültigen Benutzerzugang oder müssen eine Schwachstelle in einem Plugin ausnutzen. Aktuell genügt unter bestimmten Voraussetzungen bereits eine speziell präparierte HTTP-Anfrage an die WordPress-REST-API. Dadurch kann eine Schwachstelle in der Datenbankabfrage mit einem Fehler in der Verarbeitung von Batch-Anfragen kombiniert werden.
Das Ergebnis kann eine vollständige Übernahme einer Website sein.
Da WordPress weltweit das mit Abstand meistgenutzte Content-Management-System ist, beobachten Sicherheitsforscher solche Schwachstellen besonders genau. Sobald technische Details veröffentlicht werden, beginnen Cyberkriminelle häufig mit automatisierten Scans nach verwundbaren Websites.
Nicht jede Installation ist gleichermaßen betroffen
Nach bisherigen Erkenntnissen funktioniert die vollständige Angriffskette nur dann, wenn kein persistenter Objekt-Cache wie Redis oder Memcached eingesetzt wird. Das bedeutet jedoch keine Entwarnung. Die SQL-Injection bleibt weiterhin bestehen und auch ein Objekt-Cache ersetzt keinesfalls das Sicherheitsupdate. Er kann lediglich einen bestimmten Angriffsweg erschweren.
Automatische Updates helfen – aber verlasse dich nicht darauf
WordPress hat Sicherheitsupdates über das automatische Update-System verteilt. Dennoch sollten Administratoren nicht davon ausgehen, dass ihre Website bereits aktualisiert wurde. Automatische Updates können deaktiviert sein oder in einzelnen Hosting-Umgebungen fehlschlagen.
Deshalb empfiehlt es sich, die installierte WordPress-Version aktiv zu überprüfen.
Handlungsempfehlungen für WordPress-Website-Betreiber
Unternehmen und Website-Betreiber sollten jetzt folgende Maßnahmen umsetzen:
1. WordPress-Version kontrollieren
Prüfe umgehend, welche WordPress-Version installiert ist. Aktualisiere deine Version auf mindestens:
WordPress 6.8.6
WordPress 6.9.5
WordPress 7.0.2
oder eine neuere Version.
2. Sicherheitsupdates sofort installieren
Sicherheitsupdates sollten nicht aufgeschoben werden. Je länger eine bekannte Schwachstelle öffentlich dokumentiert ist, desto höher ist das Risiko automatisierter Angriffe.
3. Web Application Firewall einsetzen
Unternehmen sollten den Einsatz einer Web Application Firewall (WAF) prüfen. Anbieter wie Cloudflare haben bereits Schutzregeln veröffentlicht, die bekannte Angriffsversuche blockieren können. Eine WAF ersetzt jedoch keine Aktualisierung der Software.
4. Logdateien prüfen
Administratoren sollten Webserver- und Sicherheitsprotokolle auf ungewöhnliche Zugriffe zur WordPress-REST-API überprüfen.Verdächtig können insbesondere ungewöhnlich viele Anfragen an den Batch-Endpunkt der REST-API sein.
5. Sicherheitsüberwachung intensivieren
Gerade in den Tagen nach der Veröffentlichung solcher Schwachstellen steigt die Zahl automatisierter Scan- und Angriffsversuche deutlich an. Monitoring, Intrusion Detection und regelmäßige Backups gewinnen deshalb zusätzlich an Bedeutung.
6. Unternehmen sollten ihre gesamte WordPress-Landschaft prüfen
In vielen Organisationen existieren neben der Hauptwebsite weitere WordPress-Installationen – etwa für Landingpages, Microsites, interne Portale oder Marketingkampagnen. Diese Systeme geraten häufig in Vergessenheit und werden nicht regelmäßig aktualisiert. Deshalb sollte umgehend geprüft werden, ob alle WordPress-Installationen innerhalb des Unternehmens bereits auf den aktuellen Sicherheitsstand gebracht wurden.
Ein schwerwiegendes Sicherheitsproblem
Die Kombination der beiden neu entdeckten WordPress-Schwachstellen zählt zu den schwerwiegendsten Sicherheitsproblemen der vergangenen Monate. Besonders kritisch ist, dass der Fehler direkt im WordPress-Core liegt und keine zusätzlichen Plugins erforderlich sind.
Auch wenn bislang keine großflächige aktive Ausnutzung bekannt geworden ist, sind die technischen Details inzwischen öffentlich dokumentiert und funktionierende Proof-of-Concepts verfügbar. Erfahrungsgemäß dauert es in solchen Fällen oft nicht lange, bis automatisierte Angriffe auf ungepatchte Systeme beginnen.
Für Website-Betreiber und Unternehmen gilt daher: Installiere die verfügbaren Sicherheitsupdates unverzüglich, überprüfe sämtliche WordPress-Installationen und beobachte deine Systeme in den kommenden Tagen besonders aufmerksam. Damit lässt sich das Risiko eines erfolgreichen Angriffs erheblich reduzieren.
…
Abonniere jetzt unsere Cyber-News!
Erhalte wertvolle Insights, Tipps und Ratschläge zur Cybersicherheit, ganz gleich ob du Anfänger oder Fortgeschrittener bist.
