Millionen WordPress-Webseiten mit Essential Addons für Elementor unsicher

Im Mai 2023 sorgte eine kritische Sicherheitslücke für Aufsehen: Das beliebte WordPress-Plugin „Essential Addons for Elementor" – mit über einer Million aktiver Installationen – enthielt eine schwerwiegende Schwachstelle. Angreifer konnten darüber ohne vorherige Authentifizierung Administratorrechte erlangen. Ein Albtraum für Website-Betreiber.

Was war passiert?

Sicherheitsforscher von Patchstack entdeckten eine sogenannte Privilege Escalation Vulnerability (CVE-2023-32243) in Essential Addons for Elementor bis Version 5.7.1. Die Lücke erlaubte es Angreifern, über eine spezifische Funktion (Passwort zurücksetzen) das Passwort beliebiger Nutzer – einschließlich Administratoren – zu ändern, ohne Zugang zum E-Mail-Konto zu benötigen.

Das Ergebnis: Vollständige Übernahme der betroffenen WordPress-Website.

Der Hersteller reagierte schnell: Version 5.7.2 schloss die Lücke. Websites, die das Update nicht eingespielt hatten, blieben angreifbar.

Warum ist WordPress so häufig betroffen?

WordPress ist das beliebteste Content-Management-System der Welt – über 40 % aller Websites weltweit laufen damit. Das macht es zum attraktivsten Ziel für Angreifer. Die Plattform selbst ist solide, aber das Plugin-Ökosystem mit zehntausenden von Drittanbieter-Plugins ist eine riesige Angriffsfläche.

Statistisch stammen über 90 % aller WordPress-Hacks von veralteten oder schlecht entwickelten Plugins und Themes – nicht vom WordPress-Kern selbst.

Die häufigsten WordPress-Sicherheitsfehler

• Plugins nicht aktuell halten: Das ist der häufigste Fehler. Updates schließen bekannte Lücken.
• Zu viele Plugins installieren: Jedes Plugin ist ein potenzielles Einfallstor. Weniger ist mehr.
• Unsichere Passwörter: Admin-Passwörter müssen komplex und einzigartig sein.
• Kein 2FA: Zwei-Faktor-Authentifizierung verhindert Brute-Force-Angriffe.
• Kein Backup: Ohne aktuelles Backup ist ein Angriff eine Katastrophe.
• Günstig-Hosting: Geteilte Server-Umgebungen mit schlechter Isolation verbreiten Infektionen auf andere Sites.

So schützt du deine WordPress-Website

1. Updates automatisch oder regelmäßig einspielen – Core, Themes, Plugins.
2. Nur vertrauenswürdige Plugins nutzen – aktive Installation und regelmäßige Updates des Herstellers prüfen.
3. Security Plugin einsetzen – Wordfence oder iThemes Security überwachen aktiv auf verdächtige Aktivitäten.
4. Regelmäßige Backups – täglich, extern gespeichert (nicht nur auf demselben Server).
5. Starke Passwörter + 2FA – für alle Admin-Nutzer.
6. Login-URL ändern – Standard /wp-admin ist bekannt und wird automatisch angegriffen.

WordPress-Sicherheit ist kein einmaliges Projekt, sondern ein laufender Prozess. Wer seine Website nicht pflegt, handelt fahrlässig – gegenüber sich selbst und gegenüber seinen Nutzern.

Du nutzt WordPress und möchtest wissen, ob deine Website sicher ist? Oder überlegst du, auf ein moderneres und sichereres System umzusteigen? Melde dich bei mir – ich berate dich gerne. Mehr zu meinen Website-Leistungen.