Kritische WordPress-Lücke: Angreifer können Admin werden – über 100.000 Websites betroffen

Kritische WordPress-Lücke: Angreifer können Admin werden – über 100.000 Websites betroffen

X Reddit WhatsApp
21.01.2026

Kritische WordPress-Sicherheitslücke bedroht tausende Websites

Viele WordPress-Nutzer ahnen es nicht: Eine neu entdeckte Sicherheitslücke erlaubt es Angreifern, sich ohne Anmeldung Administratorrechte zu verschaffen. Betroffen ist ein Plugin mit über 100.000 aktiven Installationen.

Wer das Plugin nutzt und nicht reagiert, riskiert im schlimmsten Fall die vollständige Übernahme der eigenen Website.

Was genau ist passiert?

Sicherheitsforscher haben eine kritische Schwachstelle im WordPress-Plugin Advanced Custom Fields: Extended entdeckt. Über ein fehlerhaftes Benutzerformular können Angreifer bei der Registrierung selbst die Rolle Administrator festlegen.

Das Problem: Diese Manipulation ist ohne Login möglich – ein Albtraum aus Sicherheitssicht.

Warum die Lücke besonders gefährlich ist

  • kein Benutzerkonto erforderlich
  • direkter Admin-Zugriff möglich
  • komplette Kontrolle über Inhalte, Plugins und Themes
  • Hintertüren und Schadcode können dauerhaft installiert werden

Sicherheitsbewertet wurde die Lücke mit einem CVSS-Score von 9,8 – das entspricht der höchsten Risikostufe.

Welche Versionen sind betroffen?

Alle Versionen von Advanced Custom Fields: Extended bis einschließlich 0.9.2.1 gelten als verwundbar.

Die Entwickler haben reagiert und ein Update veröffentlicht. Die Schwachstelle ist ab Version 0.9.2.2 geschlossen.

Was Website-Betreiber jetzt sofort tun sollten

  • prüfen, ob das Plugin installiert ist
  • sofort auf Version 0.9.2.2 oder neuer aktualisieren
  • Benutzerlisten auf unbekannte Admin-Konten kontrollieren
  • Formulare zur Benutzererstellung kritisch prüfen

Wer zusätzlich eine Firewall nutzt, ist besser geschützt – doch ein Update ersetzt das nicht.

Einordnung: Warum solche Lücken oft unterschätzt werden

Viele Angriffe passieren leise. Nicht durch auffällige Fehlermeldungen, sondern durch kleine Schwachstellen in beliebten Plugins.

Gerade Erweiterungen, die Benutzerkonten oder Rollen verwalten, sollten niemals ungeprüft bleiben.

Wer WordPress nutzt, sollte Updates nicht aufschieben – vor allem dann nicht, wenn es um Admin-Zugriff geht.

Mehr aktuelle Entwicklungen

Weitere Veränderungen, Trends und stille Verschiebungen beobachten wir täglich.

→ Alle aktuellen News ansehen
Von Jens Könnig
Einordnung & Redaktion
Aktualisiert am 21.01.2026 06:50

Weitere aktuelle Entwicklungen

→ WhatsApp ändert Status-Sichtbarkeit: Warum plötzlich mehr Status auftauchen – und wie du deine Privatsphäre schützt → Neue Cyber-Pflichten für Unternehmen – Frist läuft, viele haben sich noch nicht registriert → Lenovo AI-PCs mit Qira: Der Computer wird zum Assistenten