Eine Schwachstelle mit CVSS 9.8 im WordPress-Caching-Plugin Breeze trifft 400.000 Websites. Wordfence hat seit dem 22. April mehr als 30.000 Angriffe geblockt. Hacker laden über die Lücke Backdoors hoch, ohne sich überhaupt anmelden zu müssen. Wer das von Cloudways entwickelte Plugin aktiv hat, muss jetzt patchen oder es deaktivieren.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Kommt Ihnen das bekannt vor: Ein Plugin verspricht schnellere Ladezeiten, läuft auf hunderttausenden Sites, und niemand hinterfragt, was es im Hintergrund tut? Genau diese Konstellation ist seit dem 22. April 2026 im Realbetrieb explodiert. Breeze Cache, ein vom Hosting-Anbieter Cloudways entwickeltes Caching-Plugin, hat eine kritische Sicherheitslücke, über die unauthentifizierte Angreifer beliebige Dateien hochladen können. Wordfence hat seither rund 30.000 Exploit-Versuche geblockt. Die Reichweite der Lücke wird auf über 400.000 aktive Installationen geschätzt.
Das Wichtigste in Kürze
- CVE-2026-3844 mit CVSS-Score 9.8 (kritisch) trifft das Plugin Breeze Cache von Cloudways
- Cloudways hat am 21. April 2026 die gepatchte Version veröffentlicht
- Wordfence hat am 22. April öffentlich offengelegt, exakt denselben Tag begannen die ersten Angriffe
- Über 30.000 Exploit-Versuche wurden seitdem von der Wordfence Firewall geblockt
- Bedingung für Verwundbarkeit: die Option „Host Files Locally – Gravatars“ muss aktiviert sein
- Bei erfolgreicher Ausnutzung: PHP-Backdoors, Remote Code Execution, vollständige Übernahme der Website
Wie funktioniert die Lücke technisch?
Die Schwachstelle liegt in der Funktion fetch_gravatar_from_remote, die in der Standardkonfiguration Avatare anderer Server lokal zwischenspeichert, damit Seiten schneller laden. Entdeckt wurde die Lücke vom Sicherheitsforscher Hung Nguyen (bekannt als „bashu“), gemeldet über das Wordfence-Bug-Bounty-Programm. Das Problem ist eine fehlende Dateityp-Validierung. Wer einen manipulierten Avatar-URL an die Funktion schickt, kann beliebige Dateitypen auf den Server schreiben, darunter PHP-Skripte mit Backdoor-Funktion.
Das Plugin gehört zum Cloudways-Ökosystem und wird auf vielen Sites automatisch mitinstalliert, wenn der Hoster eine WordPress-Installation aufsetzt. Genau diese stille Verbreitung ist Teil des Problems. Viele Site-Betreiber wissen gar nicht, dass das Plugin aktiv ist, weil sie es nicht selbst installiert haben. Cloudways gehört seit 2022 zu DigitalOcean und betreibt eine der größeren Managed-WordPress-Hosting-Plattformen.
Was bedeutet die Zeitlinie?
Die Chronologie ist lehrreich für jeden, der versteht, wie Plugin-Sicherheit funktioniert. Cloudways veröffentlichte die gepatchte Version am 21. April, also einen Tag vor der öffentlichen Offenlegung. Wordfence machte die Schwachstelle am 22. April öffentlich. Exakt am selben Tag begannen die ersten Angriffe. Der Grund: Sobald eine Lücke in einer öffentlichen Datenbank wie Wordfence Intelligence dokumentiert ist, scannen automatisierte Bots binnen Stunden das offene Web nach verwundbaren Installationen. Wer in dieser engen Zeitspanne nicht patcht, wird mit hoher Wahrscheinlichkeit getroffen.
Eine Einschränkung gibt es: Verwundbar sind nur Sites, in denen die Option „Host Files Locally – Gravatars“ aktiviert ist. Diese Option ist nicht standardmäßig an. Wie viele Sites tatsächlich betroffen sind, lässt sich daher nicht exakt beziffern. Wordfence-Statistiken zeigen aber, dass die 30.000 geblockten Angriffe ein klares Signal sind: Angreifer scannen großflächig, weil sich jede einzelne kompromittierte Site monetarisieren lässt, durch Spam, durch Krypto-Miner, durch Weiterverbreitung von Malware. Wie das Muster auch andere Plugins betrifft, zeigt unser Bericht zu den vier stillen WordPress-Patches im März.
Caching-Plugins sind das unterschätzteste Einfallstor in deutschen WordPress-Installationen. Wer 2026 noch nicht weiß, welche Plugins auf seinen Sites aktiv sind, hat ein Inventarproblem, kein Sicherheitsproblem. Breeze Cache zeigt: Selbst Hosting-Pakete mit vorkonfigurierten Plugins können die schlafenden Risiken sein, wenn die Hoster ihre Lücken nicht aktiv kommunizieren.
— Michael Dobler, Herausgeber Dr. Web
Was sollten Betreiber jetzt tun?
Drei Schritte.
Erstens prüfen, ob Breeze Cache auf der eigenen Site installiert ist. Im WordPress-Admin unter „Plugins“ suchen. Bei Cloudways-Hosting ist die Wahrscheinlichkeit hoch, dass es aktiv ist. Wer das Plugin findet, sollte auf die aktuellste Version aktualisieren (Version 2.3.6 oder höher, abhängig von Cloudways‘ Release-Schiene). Auto-Update aktivieren, falls noch nicht geschehen.
Zweitens: Falls das Update nicht sofort möglich ist, die Option „Host Files Locally – Gravatars“ in den Plugin-Einstellungen deaktivieren. Das schließt den Angriffsvektor, auch ohne Versions-Update.
Drittens: Prüfen, ob die Site bereits kompromittiert ist. Verdächtige PHP-Dateien im Uploads-Verzeichnis sind das klassische Indiz. Wer Wordfence Premium, Care oder Response nutzt, ist seit dem 22. April durch eine Firewall-Regel geschützt. Kostenlose Wordfence-Nutzer erhalten denselben Schutz erst 30 Tage später, also ab dem 22. Mai 2026.
Was lernt der Mittelstand aus dem Vorfall?
Die strategische Lektion ist unbequem. Viele deutsche Mittelständler wählen Managed Hosting bewusst, weil sie sich um Sicherheit nicht selbst kümmern wollen. Genau diese Erwartung wird durch Vorfälle wie Breeze Cache enttäuscht. Hosting-Anbieter sind kein Sicherheits-Outsourcing. Patches müssen selbst eingespielt werden, Plugin-Inventar muss gepflegt werden, Backups müssen vorhanden sein. Wer die Verantwortung allein auf den Hoster abwälzt, hat keine Absicherung, sondern ein Gefühl von Absicherung.
Daneben zeigt der Fall, dass Bug-Bounty-Programme funktionieren. Hung Nguyen erhielt für seinen Fund eine Prämie über Wordfence. Plugin-Hersteller, die solche Programme aktiv unterstützen, finden Lücken früher als jene, die auf interne Audits oder Zufallsfunde warten. Für Auftraggeber heißt das: Bei der Plugin-Auswahl auf etablierte Hersteller mit funktionierender Disclosure-Praxis achten. Welche WordPress-Plugins 2026 die Sicherheits-Hygiene-Standards erfüllen, fasst unsere Übersicht zu essentiellen WordPress-Plugins für 2026 zusammen.
Mehr Newshunger?
