Der Mai 2026 bringt drei kritische WordPress-Plugin-Lücken in Folge: LiteSpeed Cache mit 5 Millionen Installationen, WPForms mit über einer Million und Avada Builder als Premium-Plugin. Patchstack zählt insgesamt rund 90 Disclosures in diesem Monat. Wer manuell pflegt, kommt nicht mehr hinterher.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Die WordPress Plugin-Sicherheit wird zur Skalierungsfrage. Drei besonders kritische Lücken im Mai betreffen Plugins, die zusammen auf zweistelligen Millionen Installationen sitzen. Die Patches sind verfügbar, aber wer mehr als eine Handvoll Sites betreut, kommt mit händischem Updaten nicht mehr nach.
Das Wichtigste in Kürze
- LiteSpeed Cache: Authenticated XSS auf 5 Millionen Installationen, Patch verfügbar
- WPForms (CVE-2026-4633): Authenticated File Upload auf 1 Million Installationen
- Avada Builder: SQL-Injection und File Read auf Premium-Plugin mit großer Reichweite
- Patchstack zählt rund 90 WordPress-Disclosures im Mai 2026
LiteSpeed Cache: Die Reichweite ist das Problem
LiteSpeed Cache ist auf rund 5 Millionen WordPress-Sites installiert. Die im Mai gepatchte XSS-Lücke setzt zwar einen authentifizierten Benutzer voraus, doch auf Multi-Author-Sites mit niedriger Berechtigungsschwelle reicht das oft. Wer einmal als Autor oder Editor eingebrochen ist, kann Skripte einschleusen, die im Admin-Kontext ausgeführt werden, wenn ein Administrator die manipulierte Seite öffnet. Update auf die neueste Version ist Pflicht.
WPForms: Datei-Upload mit Folgen
CVE-2026-4633 betrifft WPForms in allen Versionen vor dem Mai-Patch. Authentifizierte Nutzer mit der Capability `upload_files` können beliebige Dateien hochladen. Auf reinen Solo-Admin-Sites ist das Risiko überschaubar, weil ohnehin nur der Betreiber die Berechtigung hat. Sobald ein Multi-Author-Setup im Spiel ist, etwa eine Redaktion mit mehreren Autoren oder ein Membership-Modell mit Beiträgen durch Nutzer, wird die Lücke zur Hintertür. Update auf die aktuelle Version ist sofort einzuspielen.
Avada Builder: Premium ist nicht sicherer
Avada Builder ist kostenpflichtig und gilt als professionelles Plugin. Im Mai patchte Wordfence zwei parallel disclosed Schwachstellen: eine SQL-Injection (CVSS 7.5) und einen File-Read (CVSS 6.5), beide bis Version 3.15.1 ausnutzbar. Patch ist 3.15.3. Die Lehre für IT-Verantwortliche im Mittelstand: Der Kaufpreis eines Plugins korreliert nicht mit dessen Sicherheit. Premium-Plugins bekommen sogar weniger Scrutiny von externen Sicherheitsforschern, weil der Code nicht öffentlich liegt.
90 WordPress-Lücken in einem Monat sind kein Ausreißer, sondern der neue Standard. Wer mehr als fünf Sites betreut und immer noch händisch updated, hat die Skalierung verloren.
— Markus Seyfferth, Chefredakteur Dr. Web
Was Agenturen jetzt brauchen
Drei Bausteine sind Pflicht sind für WordPress Agenturen mit Wartungsverträgen:
Erstens eine zentrale Vulnerability-Datenbank-Anbindung (Patchstack, Wordfence Intelligence oder ManageWP).
Zweitens automatisierte Updates für nicht kritische Komponenten.
Drittens ein Notfall-Protokoll für Zero-Days: Wer reagiert, in welchem Zeitfenster, mit welchen Backup-Sicherungspunkten. Die durchschnittliche Exposure-Window-Zeit liegt laut Patchstack bei mehreren Tagen, in denen Sites verwundbar sind, obwohl der Patch verfügbar wäre.
Mehr zur richtigen Hosting-Auswahl mit Sicherheits-Fokus finden Sie im WordPress-Hosting-Vergleich, ergänzend zu unseren SEO-Grundlagen für die Frage, wie ein gehackter Auftritt Ihre Sichtbarkeit verbrennt.
Mehr Newshunger?
