Eine kritische Sicherheitslücke im WordPress-Plugin „Custom css-js-php“ erlaubt seit gestern unauthentifizierten Angreifern, beliebige Befehle auf betroffenen Servern auszuführen. Die Lücke trägt die Kennung CVE-2026-6433 und wurde mit einem CVSS-Score von 9,8 bewertet, also kritisch.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenHand aufs Herz: Wann haben Sie zuletzt Ihre WordPress-Plugin-Liste daraufhin geprüft, ob jede Erweiterung aktiv gepflegt wird? Für Site-Betreiber mit dem genannten Plugin ist Eile geboten. Ein Angreifer braucht weder Login noch Vorkenntnisse, um die volle Kontrolle zu übernehmen.
Das Wichtigste in Kürze
- CVE-2026-6433 betrifft alle Versionen bis 2.0.7 des Plugins „Custom css-js-php“
- SQL-Injection führt zu Remote Code Execution ohne Authentifizierung
- CVSS-Score 9,8 von 10, höchste Kritikalitätsstufe
- Patch ab Version 2.0.8 verfügbar, sofortiges Update zwingend
Wie funktioniert der Angriff?

Die Lücke sitzt in einem SQL-Verarbeitungspfad, der unauthentifizierte Eingaben akzeptiert und an die Datenbank weiterreicht. Über eine SQL-Injection können Angreifer eigene Befehle einschleusen, was im Fall des Plugins direkt zur Ausführung beliebigen Codes auf dem Server führt. Anders gesagt: Eine einzige Anfrage reicht für die Übernahme der gesamten WordPress-Installation.
Für betroffene Sites verschärft die niedrige Einstiegshürde die Bedrohung. Automatisierte Scanner durchsuchen das Internet permanent nach verwundbaren Installationen. Bei einer kritischen Lücke wie CVE-2026-6433 dauert es nach öffentlicher Disclosure typischerweise nur Stunden, bis erste Massenexploits laufen. Wordfence-Daten aus früheren Fällen zeigen Tausende blockierte Angriffe pro Tag.
Was sollten Administratoren jetzt tun?

Die wichtigste Sofortmaßnahme heißt Update. Im WordPress-Dashboard unter „Plugins“ prüfen, ob „Custom css-js-php“ installiert ist. Falls ja, sofort auf Version 2.0.8 oder höher aktualisieren. Bei nicht mehr benötigter Installation das Plugin komplett deinstallieren, nicht nur deaktivieren.
Plugin-Hygiene ist Mittelstands-Disziplin Nummer eins. Jede unbenutzte Erweiterung ist ein potenzieller Generalschlüssel für Angreifer.
— Michael Dobler, Herausgeber Dr. Web
Sollten Sie den Patch nicht sofort einspielen können, gibt es zwei kurzfristige Optionen. Zunächst das Plugin temporär deaktivieren, bis ein Wartungsfenster für das Update vorhanden ist. Parallel dazu lässt sich eine Web Application Firewall vorschalten, die SQL-Injection-Muster auf Plugin-Endpunkten blockiert. Beide Maßnahmen verschaffen Zeit, ersetzen aber nicht den Patch.
Wie minimieren Sie das Risiko der nächsten Plugin-Lücke?

Plugin-Lücken sind im WordPress-Ökosystem strukturell. Über 65.000 Erweiterungen im offiziellen Verzeichnis, viele mit kleiner Code-Basis und ohne professionelles Security-Team. Hilfreich sind regelmäßige Plugin-Inventur, automatische Updates für unkritische Erweiterungen und ein abgestimmter Patch-Prozess für kritische. Auch die Wahl des Hosters entscheidet: Unser WordPress-Hosting-Vergleich zeigt, welche Anbieter automatische Patches und Plugin-Monitoring integrieren. Für die Absicherung der Administrationsumgebung listet unser DACH-Browser-Vergleich die Optionen mit der besten Datenschutz-Bilanz.
[kadence_element id="494621"]Mehr Newshunger?

- ShinyHunters knackt Canvas zweimal: Instructure zahlt Lösegeld für 3,65 TB
- Windows 11 Mai-Update KB5083631: Jetzt patchen, bevor Secure Boot abläuft
- 70 Prozent des Weltkobalts unter Exportbeschränkung: Europas Lieferkette auf der Kippe
- Patch jetzt: Dirty Frag gibt jedem lokalen Nutzer Root-Zugriff auf Linux