Gruselige Hosting-Geschichten: 10 Sicherheitsrisiken, die das Jahr 2025 heimsuchen

TL;DR: Im Jahr 2025 gehen die gruseligsten Sicherheitsrisiken für Websites nicht vom WordPress-Kern aus, sondern von anfälligen Plugins, vernachlässigten Themes und ungepatchter Serversoftware wie OpenSSH und PHP unter Ubuntu.

Das sind die Die 10 bisher schwerwiegendsten Schwachstellen in diesem Jahreinschließlich ihrer Funktionsweise und welche Lehren Websitebesitzer und Entwickler daraus ziehen sollten. Das Fazit: Konsistente Updates, sorgfältiges Rollenmanagement und die Beachtung von Sicherheitshinweisen verhindern, dass Ihre Hosting-Geschichten zu Horrorgeschichten werden.

Es beginnt immer gleich.

Ein nächtlicher Ping. Ein in Panik geratener Kunde. Eine WordPress-Site, die gestern einwandfrei funktionierte, jetzt aber Fehlerprotokolle ausgibt und Besucher auf eine dubiose Apothekendomäne umleitet. Im Kopf sind nur die kreischenden Geigen eines Horror-Soundtracks zu hören.

Die meisten gruseligen Moderationsgeschichten werden nicht von den Geistern und Monstern der Gruselsaison verursacht. Sie entstehen durch Schwachstellen, die etwas zu lange ungepatcht blieben. Im Jahr 2025 liegt die eigentliche Gefahr nicht im WordPress-Kern (bei dem es in diesem Jahr bisher nur ein nennenswertes Problem gab), sondern im Kern Plugins, Themes und Serversoftware, die Ihre Website unterstützen.

Aus diesem Grund sind wir hier, mit der Taschenlampe in der Hand, um Sie durch die zehn größten Schwachstellen zu führen, die Entwicklern dieses Jahr Gänsehaut bereitet haben. Dies sind keine warnenden Geschichten, die Sie vom Internet abschrecken sollen. Es handelt sich um Feldnotizen von der Front – Lektionen, die Sie nutzen können, um zu verhindern, dass Ihre Hosting-Geschichten zu solchen werden Horror Geschichten. Lass uns eintauchen.

Wie sieht die Bedrohungslandschaft für WordPress-Plugins und Ubuntu-Pakete im Jahr 2025 aus?

In Plugins und Themes steckt fast das gesamte WordPress-Risiko. Im Jahr 2025 gab es im WordPress-Kern bisher nur eine große Schwachstelle, aber das Plugin- und Theme-Ökosystem hat bis September (als wir diesen Artikel geschrieben haben) bereits fast 8.000 Schwachstellen hervorgebracht.

Halbjahresberichte bestätigen nicht nur das hohe Volumen, sondern auch die hohe Verwertbarkeit in der Praxis. Im ersten Halbjahr wurden 6.700 Schwachstellen identifiziert, von denen 41 % als für reale Angriffe ausnutzbar eingestuft wurden.

Die Sicherheitshinweise (USNs) von Ubuntu bieten regelmäßige, transparente Updates für Probleme in allen unterstützten Versionen. Viele dieser USNs decken kritische Software ab, die häufig in Hosting-Umgebungen verwendet wird (PHP, OpenSSH, Bibliotheken wie libxml2 usw.). Zwischen Januar und August 2025 veröffentlichte Canonical 829 USNs, die 7.408 einzigartige CVEs in den unterstützten Versionen abdecken. Das übertrifft bereits das gesamte Jahr 2024, in dem 884 USNs 5.611 CVEs adressierten.

Das Muster ist klar: Das Ausmaß der Schwachstellen auf Betriebssystemebene nimmt zu, wobei sich das Risiko oft mit Plugin- und Theme-Lecks überschneidet.

Was können Unternehmer also aus der Bedrohungslandschaft im Jahr 2025 mitnehmen? Es gibt drei grundlegende Dinge:

1. Sie können sich beim Schutz nicht auf den Kern verlassen – Die eigentliche Gefahr geht vom Code von Drittanbietern in Plugins und Themes aus, denn dort vervielfachen sich die Schwachstellen.
2. Die Ausnutzbarkeit steigt – Und es sind nicht nur noch mehr Bugs. Ein wachsender Anteil dieser Fehler kann derzeit für Angriffe genutzt werden.
3. Betriebssystemschwachstellen erhöhen das Risiko – Auch wenn der WordPress-Code einwandfrei ist, können die veralteten oder anfälligen Ubuntu-Pakete die Angriffsfläche erheblich vergrößern.

Die 10 Gruselgeschichten des Jahres 2025: Was ist schief gelaufen (und was können wir daraus lernen)?

Nachfolgend sind die tatsächlichen Schwachstellen aufgeführt, die das WordPress-Plugin-Ökosystem in diesem Jahr (bisher) erschüttert haben. Bedenken Sie, dass dies keine alte Geschichte ist – viele Websites sind immer noch ungeschützt, sofern sie nicht gepatcht werden.

1. SMTP posten

Was ist passiert: Version ≤ 3.2.0 des Post-SMTP-WordPress-Plugins hatte eine fehlerhafte Zugriffskontrolle in einem seiner REST-API-Endpunkte (dem get_logs_permission Funktion). Die Funktion überprüfte nur, ob ein Benutzer angemeldet war, nicht, ob er über ausreichende Rechte verfügte (z. B. Administrator).

Aus diesem Grund konnten sogar Benutzer auf Abonnentenebene E-Mail-Protokolle abrufen, E-Mail-Texte anzeigen und E-Mails zum Zurücksetzen des Passworts abfangen, die für Benutzer mit höheren Berechtigungen bestimmt waren. Huch!

E-Mail-Protokolle enthalten häufig vertrauliche Details. Das Abfangen von Passwort-Resets bedeutet, dass ein Benutzer mit geringen Berechtigungen das Passwort eines Administrators zurücksetzen und die Site übernehmen könnte. Dadurch wird aus einem scheinbar harmlosen Plugin-Fehler eine Kompromittierung der gesamten Website.

Darüber hinaus ist Post SMTP mit über 400.000 aktiven Installationen weit verbreitet. Auf einem großen Teil dieser Websites wurden zum Zeitpunkt der Offenlegung anfällige Versionen ausgeführt.

Schlüssel zum Mitnehmen: Sogar einfache Kontrollen (is_user_logged_in) reichen für sensible Daten nicht aus. Berechtigungsprüfungen müssen mit der Empfindlichkeit des Endpunkts übereinstimmen.

2. Wesentliche Add-ons für Elementor

Was ist passiert: Versionen ≤ 6.0.14 von Essential Addons für Elementor hatten eine reflektierte Cross-Site Scripting (XSS)-Schwachstelle im Popup-Selektor Abfrageargument. Die Eingabe wurde vor der Einbettung in die Seitenausgabe nicht ordnungsgemäß bereinigt/validiert. Der Fehler wurde in der Version behoben 6.0.15.

Dieses Plugin hat über 2 Millionen InstallationenDaher hat eine Sicherheitslücke wie diese eine große potenzielle Reichweite. Reflektiertes XSS kann Phishing, Anmeldedatendiebstahl, Token-Hijacking oder Verunstaltung ermöglichen, wenn ein Angreifer einen Benutzer dazu verleitet, auf eine manipulierte URL zu klicken. Der Umfang der aktiven Installationen bedeutet, dass viele Websites offengelegt wurden.

Schlüssel zum Mitnehmen: Beliebtes Plugin einfacher Eingabevektor = weit verbreitetes Risiko. Eine große Installationsbasis vergrößert sogar „nur XSS“-Schwachstellen.

3. WPForms Lite

Was ist passiert: WPForms Lite-Versionen bis 1.9.5 waren anfällig für gespeichertes Cross-Site Scripting über start_timestamp Parameter. Authentifizierte Benutzer mit Mitwirkender-Rolle oder höher könnte Skripte einschleusen, die bestehen bleiben und immer dann ausgeführt werden, wenn ein Benutzer eine manipulierte Seite aufruft.

Da der Zugriff auf Mitwirkender-Ebene auf Websites mit mehreren Autoren oder Teammitgliedern häufig gewährt (oder versehentlich beibehalten) wird, war das Risiko real. Die Möglichkeit, die Skriptinjektion fortzusetzen, bedeutet, dass die Kompromittierung bestehen bleiben kann, bis der Site-Code oder die Datenbank bereinigt wird – und nicht nur ein einmaliger reflektierter Angriff.

Während der CVSS-Schweregrad für dieses Problem „mittel“ (5,4) ist, ist persistentes XSS schwerer zu erkennen, schwerer zu bereinigen und hat größere Konsequenzen (Cookie-Diebstahl, Privilegienausweitung, Verlust des Benutzervertrauens), als vielen Menschen bewusst ist.

Schlüssel zum Mitnehmen: Gespeichertes XSS über Benutzer mit niedrigeren Rollen ist gefährlich. Berechtigungen sind wichtig, ebenso wie die Sicherstellung, dass selbst „vertrauenswürdige“ Benutzer nicht automatisch sicher sind.

4. GiveWP

Was ist passiert: Versionen von GiveWP vor 3.19.4 enthielten eine PHP Object Injection-Schwachstelle. An bestimmte Unserialisierungsfunktionen übergebene Eingaben wurden nicht validiert, sodass manipulierte Nutzlasten eingefügt werden konnten. Unter einigen PHP-Konfigurationen könnte dies Angreifern ermöglichen, „magische Methoden“ in Klassen auszulösen, was zu Remote Code Execution (RCE) führt.

GiveWP ist eines der beliebtesten Spenden-Plugins und unterstützt über 100.000 aktive Installationen. Bei Websites, die darauf angewiesen sind, um Spenden für gemeinnützige Organisationen zu sammeln, könnten die Server gekapert werden, nicht nur die Front-End-Anzeigen. Das ist sowohl eine Geschäftskontinuitäts- als auch eine Vertrauenskatastrophe.

Schlüssel zum Mitnehmen: Komplexe Plugins wie Spendenplattformen verarbeiten sensible Daten und sind daher ein bevorzugtes Ziel. Flicken Sie sie immer schnell.

5. AI Engine-Plugin

Was ist passiert: Das AI Engine-Plugin von Meow Apps lieferte eine Version ohne Zugriffsprüfungen aus, sodass Benutzer mit minimalen Rollen ihre Berechtigungen erweitern konnten. Dies bedeutete, dass ein Angreifer, der sich als Basisbenutzer registrieren konnte, sich zum Administrator befördern konnte.

Sicherheitslücken bei der Rechteausweitung gehören zu den verheerendsten, da sie das Vertrauensmodell untergraben. Ein registrierter Benutzer (oder in manchen Fällen sogar ein Bot, der ein neues Konto erstellt) könnte sofort die Kontrolle über die gesamte Website erlangen. Da AI Engine weit verbreitet ist, um OpenAI und andere KI-Dienste zu integrieren, hat sich der Wirkungsradius sowohl auf Marketing- als auch auf Produktionswebsites ausgeweitet.

Schlüssel zum Mitnehmen: Die Eskalation von Berechtigungen ist beängstigender als XSS, da Angreifer dadurch die Schlüssel zu Ihrer Website erhalten. Rollenprüfungen sollten Teil jeder monatlichen Wartungsroutine sein.

6. B-Blocks-Plugin

Was ist passiert: B Blocks, ein WordPress-Plugin mit Zehntausenden von Installationen, hatte einen kritischen Fehler: Fehlende Autorisierungsprüfungen ermöglichten es nicht authentifizierten Besuchern, neue Administratorkonten zu erstellen. Im Gegensatz zu anderen Privilegieneskalationsfehlern war für diesen Fehler überhaupt keine Benutzerrolle oder Anmeldung erforderlich.

Jeder Angreifer, der den Endpunkt kennt, könnte ein brandneues Administratorkonto einrichten. Von dort aus könnten sie Hintertüren installieren, die Datenbank exportieren oder SEO-Spam-Links auf der gesamten Website einschleusen. Da hierfür kein bestehender Zugriff erforderlich war, wurde dieser Fehler kurz nach seiner Offenlegung stark ausgenutzt.

Schlüssel zum Mitnehmen: Die Eskalation nicht authentifizierter Berechtigungen ist schlimmer. Jeder Websitebesitzer sollte seine Benutzerliste regelmäßig überprüfen, auch wenn er denkt, dass alles gepatcht ist.

7. Motoren-Thema

Was ist passiert: Der Motoren Das Thema, das häufig für Websites von Autohäusern und Automärkten verwendet wird, enthielt einen Fehler bei der Rechteausweitung. Die Sicherheitslücke ermöglichte es nicht authentifizierten Angreifern, schwache Prüfungen im Theme-Code auszunutzen, um Berechtigungen auf Administratorebene zu erlangen.

Im Gegensatz zu kleinen Nischenthemen Motoren ist kommerziell und stark verbreitet. Ein kompromittiertes Thema dieser Größenordnung führt dazu, dass Tausende von Unternehmenswebsites, die für Inventar, Zahlungen und Kundenkontakte werben, plötzlich offengelegt werden. Die Privilegieneskalation bedeutet hier, dass Angreifer nicht schlau sein mussten – sie konnten einfach „einsteigen“ und sich selbst promoten.

Schlüssel zum Mitnehmen: Themes können genauso gefährlich sein wie Plugins. Wenn Sie ein Theme vor Jahren gekauft und nicht aktualisiert haben, ist dieses Theme möglicherweise Ihr schwächstes Glied.

8. Datenbank für Kontaktformular 7 / WPForms / Elementor Forms

Was ist passiert: Das Datenbank-Plugin für CF7, WPForms und Elementor Forms wies eine kritische Sicherheitslücke bezüglich Remote-Codeausführung/Denial-of-Service auf. Versionen ≤ 1.4.3 konnten vom Benutzer bereitgestellte Eingaben nicht bereinigen, sodass Angreifer über Formularübermittlungen bösartige Nutzlasten einschleusen konnten.

Da es sich bei diesem Plugin um ein Add-on zu drei der beliebtesten Formularersteller handelt, wurde die Bekanntheit erhöht. Ein Angreifer könnte ein „harmloses“ Formular einreichen, aber tatsächlich Code auf Ihrem Server einschleusen – ein Albtraumszenario für Agenturen, die mehrere Kundenstandorte verwalten.

Schlüssel zum Mitnehmen: Selbst kleine „Hilfs“-Plugins können einen ganzen Stack zum Absturz bringen. Wenn Sie kritische Plugins mit Add-ons erweitern, patchen Sie diese genauso dringend wie das Haupttool.

9. OpenSSH unter Ubuntu 24.04

Was ist passiert: Canonical hat im Jahr 2025 mehrere OpenSSH-Schwachstellen offengelegt, darunter einen Forward-Bypass-Fehler, bei dem die Weiterleitung deaktivieren Die Direktive funktionierte nicht wie vorgesehen (USN-7457-1). Ein weiterer Hinweis (USN-7270-1) befasste sich mit potenziellen Denial-of-Service-Risiken bei Clientverbindungen.

OpenSSH ist eines der grundlegendsten Pakete auf Ubuntu-Servern. Wenn der SSH-Zugriff offengelegt wird, können Angreifer diese Fehler verketten, um Persistenz zu erlangen oder die Verfügbarkeit zu unterbrechen. Viele Systemadministratoren gehen davon aus, dass SSH standardmäßig sicher ist, aber Sicherheitslücken wie diese zeigen dies Selbst der verhärtete Kern braucht Wachsamkeit.

Schlüssel zum Mitnehmen: Gehen Sie nicht davon aus, dass kritische Pakete unverwundbar sind. Selbst ausgereifte Software wie OpenSSH erfordert ständige Patches und Konfigurationsüberprüfungen.

10. PHP unter Ubuntu

Was ist passiert: Eine Schwachstelle im SOAP/XML-Parsing von PHP ermöglichte es, dass manipulierte Payloads mit fehlerhaften Namespace-Präfixen Abstürze auslösten. Canonical hat dies in USN-7648-1 umgesetzt, wodurch das Problem auf unterstützten Ubuntu-Versionen behoben wurde.

Viele WordPress-Plugins und Themes sind für Integrationen (Zahlungsgateways, CRMs, Marketingautomatisierung) auf PHP-SOAP/XML-Funktionen angewiesen. Ein Absturz auf der PHP-Interpreterebene bedeutet einen vollständigen Denial-of-Service und jede Site auf diesem Server könnte betroffen sein.

Schlüssel zum Mitnehmen: Fehler in der Serversoftware sind ebenso bedrohlich wie WordPress-Fehler. Wenn Ihr PHP-Prozess ausfällt, stirbt auch Ihre Website.

Was uns diese Geschichten lehren

Zusammengenommen erzählen diese 10 Fälle eine konsistente Geschichte: Die gruseligsten Schwachstellen im Jahr 2025 waren keine exotischen Zero-Days im WordPress-Kern. Sie waren die alltäglichen Risse in den Wänden: veraltete Plugins, vernachlässigte Themes und ungepatchte Serversoftware.

Drei Lektionen stechen hervor:

1. Plugins und Themes sind das schwächste Glied. Beliebte Add-ons verursachen die meisten WordPress-Schwachstellen und ihre große Installationsbasis macht sie zu erstklassigen Angriffszielen.
2. Die Eskalation von Privilegien ist allgegenwärtig. Von Post SMTP bis zum AI Engine-Plugin suchen Angreifer nach Verknüpfungen zu Administratorrechten. Sobald sie diese haben, ist alles andere zweitrangig.
3. Fehler auf Betriebssystemebene sind genauso wichtig wie Anwendungsfehler. OpenSSH- und PHP-Fehler erinnern uns daran, dass die Aktualisierung der Ubuntu-Pakete genauso wichtig ist wie die Aktualisierung von WordPress selbst.

Die Erkenntnis besteht nicht darin, Ihren Software-Stack zu fürchten, sondern ihn zu respektieren und sich um ihn zu kümmern. Jedes Plugin, Theme oder Serverpaket, das Sie installieren, vergrößert die Angriffsfläche. Der Unterschied zwischen einer gruseligen Hosting-Geschichte und einem routinemäßigen Patch-Zyklus besteht darin, wie schnell Sie diese Risiken erkennen und angehen.

Sicherheit muss nicht beängstigend sein. Mit regelmäßigen Updates, sorgfältigem Rollenmanagement und der Beachtung von Hinweisen können Sie die Monster in Schach halten.

WordPress-Hosting

Unschlagbares WordPress-Hosting

Zuverlässige, blitzschnelle Hosting-Lösungen, die speziell für WordPress optimiert sind.

Mehr anzeigen