Privacy-Analytics unter Hacker-Beschuss

Sicherheitslücke in WordPress ermöglicht Website-Übernahme

Sicherheit, WordPress, Oktober
Quelle: Primakov / Shutterstock.com
LinkedInRedditWhatsApp

Eine kritische Schwachstelle im WordPress-Plugin Burst Statistics erlaubt Angreifern vollen Administrator-Zugriff. Über 100.000 Websites sind derzeit gefährdet.

Sicherheitsforscher warnen vor einer Angriffswelle auf WordPress-Websites, die das Analyse-Plugin Burst Statistics verwenden. Eine als kritisch eingestufte Schwachstelle ermöglicht es unbefugten Dritten, die Authentifizierung zu umgehen und weitreichende Administratorrechte zu erlangen. Da das Plugin auf rund 200.000 Websites aktiv ist und als datenschutzfreundliche Alternative zu Google Analytics gilt, ist das Ausmaß der potenziellen Bedrohung erheblich. Aktuelle Daten zeigen, dass Hacker die Lücke bereits aktiv ausnutzen, um Schadcode zu verbreiten und vollständige Kontrolle über betroffene Präsenzen zu gewinnen.

Anzeige

WordPress-Sicherheitslücke fast drei Wochen aktiv

Die unter der Kennung CVE-2026-8181 geführte Schwachstelle wurde am 8. Mai 2026 durch das Sicherheitsunternehmen Wordfence entdeckt. Nachfolgende Analysen ergaben, dass der fehlerhafte Code bereits am 23. April 2026 mit der Veröffentlichung der Version 3.4.0 in das Plugin eingeführt wurde. Auch die darauffolgende Version 3.4.1 enthielt den problematischen Programmabschnitt. Die Schwachstelle betrifft somit einen Zeitraum von fast drei Wochen, in dem Installationen ohne den notwendigen Schutz online waren.

Inzwischen liegen detaillierte technische Berichte vor, die den Mechanismus des Angriffs beschreiben. Die Lücke setzt an der REST-API-Schnittstelle von WordPress an. Angreifer können durch speziell präparierte Anfragen die Identität bekannter Administratoren annehmen. Dies geschieht ohne die Kenntnis des korrekten Passworts, sofern der Benutzername des Administrators bekannt ist. Solche Benutzernamen sind häufig durch öffentliche Blogbeiträge, Kommentare oder Metadaten der Website leicht zu ermitteln oder können durch automatisierte Abfragen provoziert werden.

Technische Ursache in der Authentifizierungslogik

Die Wurzel des Problems liegt in einer fehlerhaften Interpretation der Rückgabewerte einer zentralen WordPress-Funktion. Das Plugin nutzt die Funktion wp_authenticate_application_password(), um die Identität eines Nutzers zu prüfen. Im regulären Betrieb gibt diese Funktion entweder ein gültiges Benutzerobjekt bei Erfolg oder eine Fehlermeldung in Form eines WP_Error-Objekts bei Misserfolg zurück. In bestimmten Konstellationen kann die Funktion jedoch auch den Wert null liefern.

Anzeige

Der Programmierfehler in Burst Statistics besteht darin, dass das Plugin sowohl eine Fehlermeldung als auch den Wert null fälschlicherweise als Zeichen für eine erfolgreiche Anmeldung wertet. Sobald die Funktion keinen positiven Erfolgsstatus, sondern eine der genannten Fehlermeldungen ausgibt, bricht das Plugin den Vorgang nicht ab. Stattdessen wird die Funktion wp_set_current_user() mit dem vom Angreifer bereitgestellten Benutzernamen aufgerufen. Damit wird der Angreifer für die Dauer der REST-API-Anfrage effektiv in den Status des gewählten Administrators erhoben.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Erschleichung von Administratorrechten über die REST-API

Sobald ein Angreifer über diese Methode Admin-Status erlangt hat, kann er innerhalb der REST-API-Umgebung Befehle ausführen, die normalerweise hochprivilegierten Nutzern vorbehalten sind. Ein besonders schwerwiegendes Szenario ist die Erstellung völlig neuer Administrator-Konten über die Endpunkte der WordPress-Kernsoftware, beispielsweise über /wp-json/wp/v2/users.

Mit einem eigenen, dauerhaften Administrator-Konto erhalten die Hacker uneingeschränkten Zugriff auf das Backend der Website. Dies ermöglicht den Zugriff auf private Datenbanken, den Diebstahl von Kundendaten und das Hinterlegen von Backdoors für einen dauerhaften Fernzugriff. Zudem können Besucher der Website auf schädliche externe Ziele umgeleitet oder direkt mit Malware infiziert werden. Da die Authentifizierungsumgehung keine vorherige Anmeldung erfordert, ist die Hürde für automatisierte Angriffe durch Bots extrem niedrig.

Sprunghafter Anstieg der Angriffsversuche in den letzten 24 Stunden

Die Warnungen der Sicherheitsforscher haben sich bereits als begründet erwiesen. Überwachungssysteme verzeichneten in den letzten 24 Stunden einen sprunghaften Anstieg der Angriffsversuche. Allein das Unternehmen Wordfence blockierte innerhalb eines Tages mehr als 7.400 gezielte Attacken auf die Schwachstelle CVE-2026-8181. Dies deutet darauf hin, dass Hackergruppen bereits automatisierte Werkzeuge entwickelt haben, um das Internet nach verwundbaren Versionen von Burst Statistics zu scannen.

Trotz der Veröffentlichung eines Sicherheitsupdates am 12. Mai 2026 ist ein großer Teil der Installationen weiterhin gefährdet. Statistiken von WordPress.org zeigen, dass seit der Veröffentlichung der bereinigten Version 3.4.2 etwa 85.000 Downloads verzeichnet wurden. Unter der Annahme, dass diese Downloads ausschließlich für Updates genutzt wurden, verbleiben rechnerisch etwa 115.000 Websites, die noch immer mit den veralteten Versionen 3.4.0 oder 3.4.1 betrieben werden. Diese Seiten sind derzeit ungeschützt gegen eine vollständige Übernahme durch Dritte.

Dringende Handlungsempfehlungen für Betreiber

Die Entwickler des Plugins haben schnell reagiert und stellen mit der Version 3.4.2 eine korrigierte Fassung bereit. Website-Betreiber, die Burst Statistics einsetzen, sollten unverzüglich prüfen, welche Version auf ihren Systemen aktiv ist. Sollte ein automatisches Update nicht erfolgt sein, muss die Aktualisierung auf Version 3.4.2 manuell angestoßen werden. In Fällen, in denen ein sofortiges Update nicht möglich ist, wird dringend empfohlen, das Plugin temporär zu deaktivieren, um die Angriffsfläche zu schließen.

Zusätzlich zur Aktualisierung raten Experten dazu, die Benutzerkonten der Website auf verdächtige neue Einträge mit Administratorrechten zu untersuchen. Da die Schwachstelle bereits seit mehreren Tagen aktiv ausgenutzt wird, ist es möglich, dass Angreifer bereits Konten angelegt haben, die auch nach einem Update bestehen bleiben würden. Eine Überprüfung der Logs auf ungewöhnliche REST-API-Zugriffe, insbesondere im Zusammenhang mit Authentifizierungsfehlern, kann weiteren Aufschluss über eine mögliche Kompromittierung geben.

Der Vorfall unterstreicht erneut die Risiken, die mit der Verwendung von Drittanbieter-Plugins verbunden sind, selbst wenn diese einen Fokus auf Datenschutz und Leichtgewichtigkeit legen. Die Komplexität der WordPress-API erfordert eine präzise Handhabung von Rückgabewerten, da kleine logische Fehler in der Authentifizierung weitreichende Folgen für die gesamte Installation haben können. Für Betreiber kritischer Infrastrukturen auf WordPress-Basis bedeutet dies, dass Sicherheits-Monitoring und zeitnahe Patch-Zyklen unverzichtbare Bestandteile der Wartung sind.


Autorenbild Lisa Löw

Lisa

Löw

Junior Online-Redakteurin

IT-Verlag

Anzeige
Sicherheit, WordPress, Oktober
15. Mai 2026
Sicherheitslücke in WordPress ermöglicht Website-Übernahme
Cisco
15. Mai 2026
CISA warnt: Kritische Sicherheitslücke in Cisco SD-WAN aktiv ausgenutzt
Whatsapp
15. Mai 2026
Meta führt Incognito-Chat für WhatsApp-KI ein
Zertifikat
15. Mai 2026
Wie KI perfekte Dokumente liefert – und echte Sicherheit verdrängt

Weitere Artikel

CISA warnt: Kritische Sicherheitslücke in Cisco SD-WAN aktiv ausgenutzt
Meta führt Incognito-Chat für WhatsApp-KI ein
British Airways: Datenleck bei Piloten-Daten gemeldet
Bundesamt für Verfassungsschutz wählt ChapsVision statt Palantir
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.