24 Stunden, 7.400 Angriffe, ein Patch. Im WordPress-Plugin Burst Statistics klafft seit Anfang Mai eine Authentication-Bypass-Lücke, die unauthentifizierten Angreifern erlaubt, jeden bekannten Administrator-Account zu übernehmen. Die Exploit-Welle läuft. Wer die Plugin-Version 3.4.2 vom 12. Mai 2026 noch nicht eingespielt hat, sollte das in den nächsten Stunden nachholen.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Was die Lücke technisch tut
Die Schwachstelle steckt im MainWP-Authentication-Proxy des Plugins und beruht auf einer falschen Return-Value-Prüfung. Angreifer müssen lediglich einen gültigen Administrator-Benutzernamen kennen, dann genügt ein beliebiges Passwort im Basic-Auth-Header. Das Plugin behandelt die Anfrage als authentifiziert und gewährt vollen REST-API-Zugriff, inklusive der wp/v2/users-Endpunkte. Wordfence führt die Lücke unter CVE-2026-8181.
Innerhalb der ersten 24 Stunden nach Disclosure hat das Wordfence-Netzwerk über 7.400 Exploit-Versuche blockiert. Das Tempo ist nicht ungewöhnlich. Die Smart-Slider-Lehre vom Juni 2025 mit 800.000 Sites in sechs Stunden hat gezeigt, wie schnell Angreifer offene CVEs ausnutzen, sobald die Disclosure veröffentlicht ist.
Wer betroffen ist und was jetzt zu tun ist
Burst Statistics zählt zur Stammausstattung vieler DSGVO-bewusster WordPress-Sites, weil das Plugin als datenschutzfreundliche Alternative zu Google Analytics vermarktet wird. Der Patch in Version 3.4.2 schließt die Auth-Bypass-Lücke. Wer Auto-Updates aktiviert hat, ist abgesichert. Alle anderen sollten in zwei Schritten vorgehen: erst die Plugin-Version prüfen, dann die Admin-Logs auf verdächtige REST-API-Zugriffe scannen.
Wer einen ungewöhnlich aktiven Admin-Account findet, der nicht zur eigenen Crew gehört, hat ein Problem. Account löschen, Passwörter zurücksetzen, Two-Factor-Authentication für alle verbleibenden Admins erzwingen. Wie ernst die Lage 2026 ist, dokumentiert die BSI-Cybersicherheitsstudie mit jedem vierten Internetnutzer als Cyber-Opfer.
Auth-Bypass über bekannten Usernamen ist 2026 ein kalkulierbares Risiko. Standard-Adminnamen wie ‚admin‘ oder Hostingsnamen sind binnen Sekunden geraten. Die Verteidigung ist nicht der Username, sondern Hardware-Two-Factor plus ein gepatchtes Plugin.
— Markus Seyfferth, Chefredakteur Dr. Web
Der größere Trend
Drei von vier hochkritischen WordPress-Disclosures im Mai 2026 sind Authentication- oder Authorization-Failures, keine klassischen Code-Injektionen. Das verschiebt die Verteidigungslogik. Wer Plugins nach Funktion auswählt, ohne die Update-Frequenz und das Disclosure-Verhalten des Vendors zu prüfen, läuft 2026 in steigende Risiken. Hosting-Agenturen sollten ihre Plugin-Whitelists entsprechend pflegen.
Mehr Newshunger?
Aktuelle WordPress-, Cybersecurity- und KI-Stories aus dem Dr. Web-Newsroom: Der offene Breeze-Cache mit 400.000 Sites im Risiko ergänzt das Bild. Wie der Plugin-Besitzerwechsel zur Essential-Welle wird, ist Pflichtlektüre. Die CRA-Pflicht ab Mitte 2026 sortiert den Plugin-Markt grundlegend. Auf der Major-Release-Seite: native KI in WordPress 7.0 zum 20. Mai und ergänzend WordPress 7.0 ist da und was am 21. Mai zählt. Im KI-Cluster: 86 Prozent KI-Phishing und drei Hebel, die KI-Bilanzlüge der Hyperscaler, die SAP Autonomous Suite und der Ryzen AI Halo mit 192 GB Speicher. SEO-Verantwortliche brauchen Googles Mai-Update gegen dünne KI-Texte.
