Rekord-Hackerwelle trifft WordPress: Millionen Websites durch Plugin-Sicherheitslücken gefährdet

Am 8. und 9. Oktober 2025 erlebten WordPress-Seiten eine nie dagewesene Angriffswelle: Laut dem Sicherheitsdienst Wordfence wurden weltweit rund 8,7 Millionen Angriffsversuche auf WordPress-Seiten registriert – ausgelöst durch kritische Schwachstellen in den beliebten Plugins GutenKit und Hunk Companion. Dieser Vorfall macht erneut deutlich, wie wichtig regelmäßige Aktualisierungen und zuverlässiger Schutz für jede WordPress-Installation sind.

Was ist passiert?

Angreifer haben gezielt Websites attackiert, auf denen die Plugins GutenKit und Hunk Companion installiert sind. Beide Plugins weisen schwerwiegende Sicherheitslücken auf, die externen Zugriff und sogar die Ausführung beliebiger Befehle auf dem Server ermöglichen.

Betroffene Schwachstellen:

• CVE-2024-9234 (GutenKit, bis Version 2.1.0): Erlaubt die Installation von beliebigen Plugins über einen REST-Endpunkt ohne Authentifizierung.
• CVE-2024-9707 und CVE-2024-11972 (Hunk Companion, bis Version 1.8.5): Das „themehunk-import“-Modul erlaubt Angreifern die Plugin-Installation und das Ausführen von Schadcode durch fehlende Zugriffskontrolle.

Diese Sicherheitslücken sind als CVSS 9.8 eingestuft – der höchste Gefährdungsgrad.

Ablauf und Methoden der Angreifer

Die Hacker verschaffen sich Zugang, indem sie gezielt REST-Endpunkte aufrufen. Über manipulierte Archive wie up.zip, oft auf GitHub verteilt, werden schädliche Plugins eingeschleust. Diese enthalten verschlüsselte Skripte, die nicht nur Daten stehlen und verändern, sondern auch neue Administrator-Zugänge anlegen und weitere Schadfunktionen nachladen.

Ein Teil der Schadsoftware tarnt sich als bekannte Plugins wie „All in One SEO“ und verschafft automatisierten Zugriff. Gelingt der Einbau eines Backdoors nicht, nutzen die Angreifer weitere Schwachstellen in alternativen Plugins wie „wp-query-console“.

Indizien für einen Angriff – das sollte man prüfen!

Sicherheitsforscher raten, folgende Logeinträge zu kontrollieren:

• /wp-json/gutenkit/v1/install-active-plugin
• /wp-json/hc/v1/themehunk-import

Verdächtige Dateien finden sich oft in den Verzeichnissen:

• /up
• /background-image-cropper
• /ultra-seo-processor-wp
• /oke
• /wp-query-console

Wer ungewöhnliche oder unbekannte Dateien entdeckt, sollte sofort reagieren.

Empfohlene Gegenmaßnahmen

1. Alle Plugins aktuell halten: Die genannten Schwachstellen sind in neueren Versionen beseitigt:
   • GutenKit ab Version 2.1.1 (Oktober 2024)
   • Hunk Companion ab Version 1.9.0 (Dezember 2024)
2. Logs analysieren und verdächtige Dateien entfernen
3. Schutzmaßnahmen per IP-Blocklist einrichten: Wordfence hat eine Liste der aktivsten Schad-IP-Adressen veröffentlicht, steuerbares Blocken kann helfen, die häufigsten Angreifer zu sperren.
4. Backup und Wiederherstellung: Bei Verdacht auf Kompromittierung unbedingt ein Backup einspielen und kompromittierte Accounts sowie Plugins entfernen.

Fazit:
Die aktuellen Angriffe machen klar, dass gerade populäre WordPress-Plugins ein attraktives Ziel für Hacker sind. Nur regelmäßige Updates, Kontrolle der Dateistruktur und eine gute Sicherheitsstrategie können nachhaltig schützen. Auch kleine Websites sind längst nicht mehr sicher vor automatisierten Angriffswellen.

Quellen und weiterführende Links:

• securitylab.ru/news/565109.php
• wordfence.com/blog/2025/10/mass-exploit-campaign-targeting-arbitrary-plugin-installation-vulnerabilities
• nvd.nist.gov/vuln/detail/CVE-2024-9234
• nvd.nist.gov/vuln/detail/CVE-2024-9707
• nvd.nist.gov/vuln/detail/CVE-2024-11972