Im Oktober 2025 wurde eine groß angelegte Cyberkampagne bekannt, die gezielt veraltete Versionen der WordPress-Plugins GutenKit und Hunk Companion ausnutzt. Diese Plugins weisen kritische Sicherheitslücken auf, die es Angreifern ermöglichen, beliebige Plugins zu installieren und auszuführen, was zu einer vollständigen Übernahme der betroffenen Websites führen kann. Laut der Sicherheitsfirma Wordfence wurden innerhalb von nur zwei Tagen (8.–9. Oktober) über 8,7 Millionen Angriffsversuche blockiert.
Die betroffenen Sicherheitslücken
Die Angreifer nutzen drei schwerwiegende Schwachstellen, die jeweils mit der Höchstnote von 9,8 (CVSS 3.1) bewertet wurden:
- CVE-2024-9234: Eine fehlende Berechtigungsprüfung im REST-API-Endpunkt
/wp-json/gutenkit/v1/install-active-plugindes GutenKit-Plugins (bis Version 2.1.0), die es ermöglicht, beliebige Plugins ohne Authentifizierung zu installieren und zu aktivieren. - CVE-2024-9707: Eine fehlende Berechtigungsprüfung im REST-API-Endpunkt
/wp-json/hc/v1/themehunk-importdes Hunk Companion-Plugins (bis Version 1.8.4), die ebenfalls die Installation und Aktivierung beliebiger Plugins ohne Authentifizierung ermöglicht. - CVE-2024-11972: Eine ähnliche Schwachstelle im gleichen Endpunkt des Hunk Companion-Plugins (bis Version 1.8.5), die es Angreifern erlaubt, Plugins zu installieren, die dann für weitere Angriffe genutzt werden können.
Diese Schwachstellen wurden bereits im Oktober und Dezember 2024 durch die jeweiligen Plugin-Entwickler gepatcht. Dennoch laufen viele Websites weiterhin mit den unsicheren Versionen und sind daher anfällig für Angriffe.
Angriffsmechanismus und Folgen
Angreifer nutzen die genannten Schwachstellen, um über die REST-API beliebige Plugins zu installieren. Häufig wird dabei ein bösartiges Plugin mit dem Namen up.zip verwendet, das über GitHub gehostet wird. Dieses Plugin enthält obfuskierte Skripte, die es den Angreifern ermöglichen, Administratorrechte zu erlangen, Dateien hochzuladen und Remote-Befehle auszuführen. In einigen Fällen installieren die Angreifer zusätzlich das Plugin WP Query Console, das eine eigene kritische Sicherheitslücke (CVE-2024-50498) aufweist und es ermöglicht, beliebigen PHP-Code auszuführen.
Empfohlene Sofortmaßnahmen
Website-Betreiber sollten umgehend folgende Schritte unternehmen, um ihre Systeme zu sichern:
- Update durchführen: Aktualisieren Sie das GutenKit-Plugin auf mindestens Version 2.1.1 und das Hunk Companion-Plugin auf mindestens Version 1.9.0. Diese Versionen beheben die genannten Sicherheitslücken.
- Verdächtige Dateien entfernen: Überprüfen Sie Ihre Website auf ungewöhnliche Ordner wie
/up/oder/wp-query-console/und entfernen Sie diese, falls sie nicht bekannt sind. - Logs analysieren: Untersuchen Sie die Server-Logs auf verdächtige Anfragen, insbesondere solche, die auf die genannten REST-API-Endpunkte zugreifen.
- Backups erstellen: Stellen Sie sicher, dass aktuelle Backups Ihrer Website vorhanden sind, um im Falle eines Angriffs schnell reagieren zu können.
Langfristige Sicherheitsvorkehrungen
Um zukünftige Angriffe zu verhindern, sollten Website-Betreiber folgende Maßnahmen ergreifen:
- Automatische Updates aktivieren: Sorgen Sie dafür, dass alle Plugins und Themes regelmäßig aktualisiert werden, um bekannte Sicherheitslücken zu schließen.
- WAF (Web Application Firewall) einsetzen: Eine WAF kann helfen, schadhafte Anfragen frühzeitig zu blockieren und so die Sicherheit Ihrer Website zu erhöhen.
- Regelmäßige Sicherheitsüberprüfungen durchführen: Führen Sie regelmäßig Sicherheits-Audits durch, um potenzielle Schwachstellen frühzeitig zu erkennen und zu beheben.
Die aktuelle Angriffswelle zeigt eindrucksvoll, wie wichtig es ist, alle Komponenten einer WordPress-Website regelmäßig zu aktualisieren und auf Sicherheitslücken zu überprüfen. Besonders veraltete Plugins stellen ein erhebliches Risiko dar und sollten umgehend auf die neuesten Versionen aktualisiert werden. Nur so kann die Sicherheit der Website gewährleistet und das Risiko eines erfolgreichen Angriffs minimiert werden.
Quellen
Über den Autor
Letzte Aktualisierung am 30.10.2025 / Affiliate Links / Bilder von der Amazon Product Advertising API. Alle hier angezeigten Preise und Verfügbarkeiten gelten zum angegebenen Zeitpunkt der Einbindung und können sich jederzeit ändern. Der Preis und die Verfügbarkeit, die zum Kaufzeitpunkt auf Amazon.de angezeigt werden, sind maßgeblich. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.
