Über 15 Jahre Erfahrung in HTML & CSS – seit über 10 Jahren spezialisiert auf WordPress.

HTML lernen!

Kritische WordPress-Lücke: Angreifer kapern Datenschutz-Plugin Burst Statistics

·

Sladjan Lazic

Ein schwerwiegender Sicherheitsfehler im beliebten WordPress-Plugin „Burst Statistics“ sorgt derzeit für Alarm in der Webhosting- und Sicherheitsbranche. Die Schwachstelle ermöglicht es Angreifern, Websites vollständig zu übernehmen und Administratorrechte zu erlangen – ohne gültige Zugangsdaten eingeben zu müssen. Besonders brisant: Das Plugin wird auf rund 200.000 WordPress-Seiten eingesetzt und gilt als datenschutzfreundliche Alternative zu klassischen Tracking-Lösungen wie Google Analytics.

Sicherheitsforscher berichten inzwischen von einer aktiven Angriffswelle. Hacker nutzen die Lücke bereits automatisiert aus, um Schadsoftware zu installieren, neue Administrator-Konten anzulegen und kompromittierte Webseiten dauerhaft unter ihre Kontrolle zu bringen.

Sicherheitsfehler blieb wochenlang unbemerkt

Entdeckt wurde die Schwachstelle mit der Kennung CVE-2026-8181 am 8. Mai 2026 vom Sicherheitsunternehmen Wordfence. Nachträgliche Analysen ergaben jedoch, dass der fehlerhafte Code bereits seit dem 23. April aktiv war. Mit der Veröffentlichung der Plugin-Version 3.4.0 wurde die Sicherheitslücke unbeabsichtigt eingeführt. Auch die nachfolgende Version 3.4.1 enthielt weiterhin den fehlerhaften Programmcode.

Damit waren betroffene WordPress-Installationen fast drei Wochen lang potenziell angreifbar. Besonders kritisch ist dabei, dass keine Anmeldung erforderlich ist, um die Schwachstelle auszunutzen.

Fehler in der Authentifizierung öffnet Angreifern die Tür

Im Zentrum des Problems steht die REST-API von WordPress. Über manipulierte Anfragen können Angreifer die Identität bestehender Administratoren vortäuschen. Voraussetzung dafür ist lediglich die Kenntnis des Benutzernamens – und genau diese Informationen lassen sich bei vielen WordPress-Seiten vergleichsweise leicht herausfinden, etwa über Autorenarchive, Kommentare oder öffentliche Metadaten.

Technisch basiert die Schwachstelle auf einer fehlerhaften Verarbeitung von Rückgabewerten innerhalb der Authentifizierungslogik des Plugins. Burst Statistics verwendet die WordPress-Funktion:

wp_authenticate_application_password()

Diese Funktion dient dazu, Nutzer zu überprüfen. Unter bestimmten Umständen liefert diese Funktion jedoch keinen eindeutigen Fehler, sondern den Wert „null“.

Genau an dieser Stelle liegt der Programmierfehler: Das Plugin interpretiert sowohl Fehlermeldungen als auch den Wert „null“ fälschlicherweise als erfolgreiche Anmeldung. Anschließend wird die Funktion wp_set_current_user() mit dem vom Angreifer angegebenen Benutzernamen ausgeführt. Dadurch erhält der Angreifer innerhalb der REST-API temporär Administratorrechte.

Vollständige Übernahme der Website möglich

Mit den erschlichenen Rechten können Cyberkriminelle neue Administrator-Konten anlegen und sich damit dauerhaften Zugriff auf die Website verschaffen. Über die WordPress-API lassen sich unter anderem neue Benutzer erstellen oder bestehende Systeme manipulieren.

Die Folgen können gravierend sein. Neben dem Diebstahl sensibler Kundendaten drohen auch versteckte Backdoors, Spam-Kampagnen oder die Verbreitung von Malware über kompromittierte Webseiten. Ebenso könnten Besucher unbemerkt auf schädliche Seiten umgeleitet werden.

Da keine reguläre Anmeldung erforderlich ist, eignet sich die Schwachstelle besonders für automatisierte Bot-Angriffe. Sicherheitsforscher sprechen deshalb von einer äußerst niedrigen Angriffshürde.

Tausende Angriffe innerhalb weniger Stunden registriert

Die Angriffswelle hat offenbar bereits begonnen. Laut Wordfence wurden innerhalb von nur 24 Stunden mehr als 7.400 Angriffsversuche auf die Schwachstelle registriert und blockiert. Experten gehen davon aus, dass Angreifer inzwischen automatisierte Scan-Tools einsetzen, um verwundbare WordPress-Seiten gezielt aufzuspüren.

Obwohl mittlerweile ein Sicherheitsupdate bereitsteht, bleiben zahlreiche Installationen weiterhin gefährdet. Seit der Veröffentlichung der bereinigten Version 3.4.2 wurden laut WordPress.org rund 85.000 Downloads registriert. Rechnerisch könnten damit noch immer mehr als 100.000 Websites mit den anfälligen Versionen 3.4.0 oder 3.4.1 online sein.

Betreiber sollten sofort handeln

Die Entwickler von Burst Statistics haben inzwischen reagiert und mit Version 3.4.2 eine korrigierte Ausgabe veröffentlicht. Betreiber sollten umgehend prüfen, welche Plugin-Version auf ihrer Website installiert ist. Falls das automatische Update nicht aktiviert wurde, sollte die Aktualisierung manuell durchgeführt werden.

Kann das Update kurzfristig nicht eingespielt werden, empfehlen Sicherheitsexperten, das Plugin vorübergehend vollständig zu deaktivieren.

Darüber hinaus sollten Administratoren sämtliche Benutzerkonten kontrollieren und insbesondere auf unbekannte Administrator-Zugänge achten. Da die Sicherheitslücke bereits aktiv ausgenutzt wird, könnten Angreifer schon dauerhafte Hintertüren eingerichtet haben. Auch ein Blick in die Server- und REST-API-Logs kann Hinweise auf verdächtige Aktivitäten liefern.

WordPress-Plugins bleiben ein Sicherheitsrisiko

Der aktuelle Vorfall zeigt erneut, wie riskant fehlerhafte Drittanbieter-Plugins für WordPress-Installationen sein können. Selbst Erweiterungen mit Fokus auf Datenschutz und Minimalismus können gravierende Sicherheitsprobleme enthalten, wenn Authentifizierungsmechanismen nicht sauber umgesetzt werden.

Für Betreiber professioneller Webseiten wird damit einmal mehr deutlich, wie wichtig regelmäßige Updates, Sicherheits-Monitoring und kurze Patch-Zyklen im laufenden Betrieb sind. Gerade bei weit verbreiteten Plugins können kleine Programmierfehler innerhalb weniger Stunden zu massenhaften Angriffen führen.

Sladjan Lazic
Latest posts by Sladjan Lazic (see all)

Das könnte dich auch interessieren

Comments

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert