Eine schwerwiegende Sicherheitslücke im Plugin WP Maps Pro setzt zehntausende WordPress-Websites weltweit akuter Gefahr aus. Angreifer können ohne Authentifizierung Administratorkonten anlegen und die vollständige Kontrolle über betroffene Seiten übernehmen.
Rekord-Schäden durch Phishing und Hacker-Angriffe: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen unbefugte Zugriffe schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Explosionsartiger Anstieg der Angriffe
Die als CVE-2026-8732 registrierte Schwachstelle erreicht mit 9,8 von 10 möglichen Punkten die höchste Risikostufe auf dem CVSS-Score. Betroffen sind alle Versionen des Plugins bis einschließlich 6.1.0. Bereits innerhalb von 24 Stunden nach der öffentlichen Bekanntgabe blockierten Sicherheitsfirmen wie Wordfence und Defiant tausende Angriffsversuche.
Die Verwundbarkeit liegt in einem temporären Zugriffs-Handler der AJAX-Funktionalität des Plugins. Konkret nutzen Angreifer eine POST-Anfrage an die Administrations-AJAX-Datei – und zwar über eine Aktion, die eigentlich für temporären Support-Zugriff vorgesehen ist. Da die Sicherheits-Nonces nicht ausreichend geschützt sind, können Unbefugte die Authentifizierung umgehen und neue Administrator-Zugangsdaten erstellen.
Die Angriffswelle begann unmittelbar nach der Veröffentlichung der Schwachstelle am 29. Mai 2026. Wordfence registrierte zwischen 2.000 und über 3.600 Attacken, Defiant verzeichnete mehr als 1.700 abgewehrte Versuche. Branchendaten zufolge wurde das Plugin auf über 15.000 Websites installiert oder verkauft – darunter auch über den Envato Market.
Neue Cyberrisiken und gesetzliche Anforderungen: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, wie Sie Sicherheitslücken schließen und Ihre IT-Infrastruktur proaktiv vor komplexen Bedrohungen absichern. Gratis-E-Book: Cyber Security Trends jetzt herunterladen
Patch verfügbar – Update dringend empfohlen
Entdeckt wurde die Sicherheitslücke vom Forscher David Brown, der sie am 24. März 2026 über ein Bug-Bounty-Programm meldete. Dafür erhielt er eine Prämie von 1.950 Euro. Der Hersteller reagierte und veröffentlichte am 20. Mai 2026 mit Version 6.1.1 einen Patch. Sicherheitsexperten raten Website-Betreibern eindringlich, das Update umgehend einzuspielen, um eine Kompromittierung ihrer Seiten zu verhindern.
Weitere Schwachstellen: Gravity Forms und Magento gefährdet
Doch nicht nur WP Maps Pro bereitet Sicherheitsexperten Sorgen. Im Plugin Gravity Forms wurde eine weitere kritische Lücke entdeckt. Die als CVE-2026-48866 geführte Path-Traversal-Schwachstelle erreicht einen CVSS-Wert von 9,6 und betrifft Versionen bis 2.10.0.1. Besonders brisant: Stand 1. Juni 2026 war noch kein Patch verfügbar. Angreifer könnten damit auf das Dateisystem zugreifen und Manipulationen vornehmen.
Auch im E-Commerce-Bereich schlummert Gefahr. Die Erweiterung Cache Warmer für Magento und Adobe Commerce wies eine Schwachstelle auf, die entfernte Codeausführung (RCE) ermöglichte. Die als CVE-2026-45247 registrierte Lücke – ebenfalls mit 9,8 bewertet – erlaubte PHP-Object-Injection über manipulierte Cookies. Rund 6.000 Online-Shops waren betroffen, bevor Version 1.11.12 den Fehler behob.
Langzeitkampagne missbraucht Steam-Profile als Kommandozentrale
Parallel zu diesen akuten Bedrohungen läuft seit Sommer 2025 eine hartnäckige Malware-Kampagne gegen WordPress-Seiten. Die Angreifer nutzen dabei die Steam-Community-Plattform als Kommando- und Kontrollkanal (C2) – ein ungewöhnlicher Ansatz.
Die Täter verstecken schädliche Code-Fragmente in Steam-Profilkommentaren, und zwar mithilfe unsichtbarer Zero-Width-Unicode-Zeichen. Schätzungsweise 2.000 Websites wurden bereits infiziert. Die Hintertür kommuniziert über bestimmte Cookie-Parameter und POST-Anfragen, um unbemerkt Schadcode auf den kompromittierten Servern auszuführen.
