KONTAKT

Sicherheit

Kritische Kirki-Lücke: WordPress-Admins ohne Passwort übernehmbar

Eine aktiv ausgenutzte Schwachstelle im beliebten WordPress-Plugin Kirki lässt Angreifer:innen Admin-Konten ohne Passwort kapern – auf bis zu 150.000 Seiten.

Symbolbild für Cyberangriff

Kirki ist auf über 500.000 WordPress-Seiten installiert und liefert als Framework die Customizing-Optionen vieler Themes. Genau dieses Plugin hat seit Mitte Mai eine kritische Lücke (CVE-2026-8206, CVSS 9.8) – und Angreifer:innen nutzen sie bereits aktiv aus. Wenn du WordPress betreibst, solltest du jetzt prüfen, ob du betroffen bist.

Was ist passiert?

Über einen ungeschützten REST-API-Endpunkt zum Passwort-Zurücksetzen (handle_forgot_password()) können unauthentifizierte Angreifer:innen einen gültigen Reset-Link für ein beliebiges Konto anfordern – auch für Administrator:innen. Damit lässt sich das Passwort kapern und die komplette Seite übernehmen. Wordfence registrierte binnen 24 Stunden über 220 blockierte Angriffe; zwischen Patch und aktiver Ausnutzung lagen nur rund 16 Tage.

Wer ist betroffen?

  • Alle Seiten mit Kirki-Versionen 6.0.0 bis 6.0.6 – laut Wordfence rund 150.000 Installationen.
  • Besonders Themes, die Kirki als Customizer-Framework bündeln: Oft läuft das Plugin mit, ohne bewusst installiert worden zu sein.
  • Nicht betroffen: Version 6.0.7 (veröffentlicht am 18. Mai 2026) und neuer.

Was solltest du jetzt tun?

  • Sofort auf Kirki 6.0.7 oder höher aktualisieren.
  • Geht das Update nicht sofort (z. B. wegen Theme-Konflikten), das Plugin vorübergehend deaktivieren.
  • Admin-Konten auf unbekannte Nutzer:innen und geänderte E-Mail-Adressen prüfen, Passwörter zurücksetzen.
  • Server- und Plugin-Logs auf verdächtige Passwort-Reset-Anfragen kontrollieren.

Was droht bei Untätigkeit?

Eine übernommene Admin-Rolle bedeutet Vollzugriff: eingeschleuste Schadskripte, Spam-Weiterleitungen, Datenabfluss oder eine als Phishing-Schleuder missbrauchte Seite. Dazu kommen Reputationsschaden und – bei Abfluss personenbezogener Daten – datenschutzrechtliche Folgen.

Du bist unsicher, ob deine Seite verwundbar ist, oder willst Updates und Monitoring nicht selbst stemmen? Wir härten und warten Websites – egal ob in TYPO3, WordPress, Magento, einer individuellen Laravel-Applikation oder in einem Headless-Setup mit Payload oder Directus. Nimm jetzt Kontakt auf!

Quellen:
BleepingComputer: Critical Kirki flaw exploited to hijack WordPress admin accounts
Secure Bulletin: CVE-2026-8206 (CVSS 9.8) – Kirki WordPress Plugin Flaw

Zurück zur Übersicht

Digital Trends & Insights

Immer am Puls der Zeit
Warnsymbol mit Ausrufezeichen

Google bestraft Back-Button-Hijacking ab 15. Juni – jetzt prüfen

SEO

Ab 15. Juni 2026 gilt das Manipulieren des Zurück-Buttons offiziell als Spam – mit Ranking-Verlust als Folge.

ARTIKEL LESEN
Symbolbild für SEO

Google May 2026 Core Update: Rollout abgeschlossen – wer jetzt verloren hat und was zu tun ist

SEO

Drei Wochen Turbulenz in den Suchergebnissen sind vorbei. Wer im Mai-Update gewonnen hat, hat Substanz – wer verloren hat, kämpft mit dünnen Inhalten und schwacher Autorität.

ARTIKEL LESEN
Alle Neuigkeiten

Das Element kann nicht angezeigt werden. Um das Element zu sehen, akzeptieren Sie die Marketing-Cookies.

Cookie-Einstellungen öffnen