King Addons for Elementor ist eines dieser Plugins, die viele Betreiber installieren und dann vergessen. Über 10.000 aktive Installationen, harmlose Layout-Helfer, kein produktkritischer Bestandteil. Bis vor wenigen Wochen. Eine als CVE-2025-8489 katalogisierte Lücke erlaubt das Hochladen beliebiger Dateien ohne Authentifizierung, und Wordfence hat seit Bekanntwerden mehr als 48.400 Angriffsversuche auf eben dieses Schlupfloch blockiert. Wer das Plugin im Einsatz hat und nicht auf Version 51.1.20 oder höher aktualisiert hat, läuft ohne Helm im Steinbruch.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Das Wichtigste in Kürze:
- King Addons for Elementor: CVE-2025-8489, Arbitrary File Upload ohne Authentifizierung.
- Wordfence hat bereits über 48.400 Angriffsversuche blockiert, der Angriff läuft aktiv.
- Patch ist seit August 2025 verfügbar (Version 51.1.20), wird aber nicht flächendeckend eingespielt.
- Erfolgreiche Ausnutzung führt zur vollständigen Site-Kompromittierung über Webshell-Upload.
Was macht diese Lücke so gefährlich?
Ausnutzungsschwelle null. Die Schwachstelle erfordert keinerlei Anmeldung. Ein Angreifer braucht weder Benutzerkonto noch Cookie, kein Brute-Force, kein Phishing. Eine simple HTTP-Anfrage an einen ungeschützten Plugin-Endpoint genügt, um eine PHP-Datei auf den Server zu schreiben. Bei den meisten gehosteten Sites hat diese Datei dann sofort Ausführungsrechte.
Webshell als Ergebnis. Erfolgreiche Angreifer laden in der Regel eine PHP-Webshell hoch, die ihnen vollen Zugriff auf das Dateisystem gibt. Von dort werden Backdoors in das Theme installiert, Datenbankzugangsdaten aus der wp-config.php ausgelesen, weitere Plugin-Verzeichnisse infiziert und schließlich Spam-Inhalte oder Malware ausgespielt. Eine kompromittierte Site lässt sich in den meisten Fällen nicht sauber reparieren, sondern muss aus einem verifizierten Backup wiederhergestellt werden.
Massen-Scan-Muster. Wordfence-Telemetrie zeigt, dass die Angriffe nicht zielgerichtet sind, sondern als Massen-Scan über das öffentliche Internet laufen. Botnetze probieren systematisch jede WordPress-Site auf das verwundbare Plugin-Verzeichnis ab. Wer eine Site im Netz hat, wird angepingt — Frage ist nur, ob das Plugin antwortet.
Eine unauthentifizierte File-Upload-Lücke in einem Elementor-Addon ist die digitale Variante eines Hintereingangs mit Pfeil und Beschriftung. Wer den nicht zumacht, gehört nicht in den Betrieb einer Website.
— Michael Dobler, Herausgeber Dr. Web
Wie prüfen Sie Ihre Site jetzt?
Plugin-Version checken. Im wp-admin unter „Plugins“ das Eintrag „King Addons for Elementor“ suchen. Steht dort eine Versionsnummer unter 51.1.20, sofort aktualisieren. Sollte das Plugin nicht in der Liste auftauchen, sind Sie nicht betroffen.
Server-Logs prüfen. Suchen Sie in den Zugriffslogs nach Anfragen auf /wp-content/plugins/king-addons/ mit POST-Methode. Massen-Scans hinterlassen typischerweise Hunderte solcher Einträge innerhalb weniger Minuten.
Datei-System inspizieren. Falls verdächtige PHP-Dateien im Uploads-Verzeichnis auftauchen, ist die Site mit hoher Wahrscheinlichkeit bereits kompromittiert. Eine saubere Reinigung erfordert dann Wiederherstellung aus einem Backup, das vor dem Angriffszeitpunkt liegt.
Was steckt strategisch dahinter?
Elementor-Addons sind 2026 das beliebteste Einfallstor in WordPress-Sites geworden. Die Kombination aus weiter Verbreitung, oft schwacher Code-Qualität und der Möglichkeit, beliebige Widgets im Frontend zu rendern, macht sie zur idealen Angriffsfläche. Patchstack führt die Familie der Elementor-Erweiterungen seit Anfang 2026 als eigenen Top-Risiko-Cluster in den Quartalsberichten.
Für Betreiber heißt das: Wer Elementor produktiv nutzt, sollte die Liste der installierten Addons kennen. Jedes davon ist eine eigene Angriffsfläche, jedes davon braucht aktive Pflege. Im Zweifelsfall lieber ein Addon weglassen und das Layout per strikter Login-Hygiene abrunden.
Mehr Newshunger?
