Im WordPress-Plug-in „AI Engine“ wurde kürzlich eine kritische Sicherheitslücke entdeckt, die es Angreifern ermöglichte, ohne Authentifizierung privilegierte Zugriffsrechte auf eine WordPress-Instanz zu erlangen. Über eine manipulierte REST-API-Anfrage ließ sich der sogenannte „Bearer Token“ abfangen, der normalerweise für den Zugang zur KI-Plattform genutzt wird. Angreifer konnten diesen Token nutzen, um dann über systemeigene Kommandos wie „wp_update_user“ ihre eigenen Zugriffsrechte auf „Administrator“ eskalieren – was einer vollständigen Übernahme der Seite gleichkommt.
Betroffen sind über 100.000 Websites weltweit, die in irgendeiner Form das Plug-in einsetzen – vor allem zur Automatisierung von Inhalten, zur Einbindung von Chatbots oder zur Organisation von KI-Formularen.
Die gravierendste Schwachstelle: Die „No-Auth URL“-Option des Plug-ins war bei einigen Instanzen aktiv – und genau das ermöglichte den nicht-authentifizierten Zugriff über die API. Zwar war diese Option standardmäßig deaktiviert – doch wie viele Projektbeteiligte in der Implementierung von KI-Features überprüfen tatsächlich jede Default-Einstellung mit kritischem Blick?
Ein Update wurde bereits bereitgestellt. Die Schwachstelle (CVE-2025-11749) wurde mit einem CVSS-Score von 9.8 (kritisch) bewertet.
Doch die Frage ist: Reicht ein Update aus?
In Gesprächen mit Geschäftsführern und IT-Leitern erleben wir oft dieselbe Reaktion auf solche Fälle: „Das betrifft nur den Webauftritt – nicht unser Kerngeschäft.“ Doch genau hier beginnt das strategische Risiko. Denn die Unternehmenswebsite ist heute mehr als ein Aushängeschild. Sie ist oft CRM, Marketingkanal, Kundendialog, Vertriebsschnittstelle und Login-Plattform in einem. Jede Kompromittierung darf deshalb nicht isoliert als reines „WordPress-Problem“ angesehen werden – sondern als potenzieller Einstiegspunkt in Ihre digitale Organisation.
Erfolgreiche Angriffe auf Plug-ins sind häufig das Eingangstor für weiterführende Zugriffe: auf interne Kommunikation, Kunden- oder Produktdaten und sogar Cloud-Dienste. Besonders wenn über APIs automatisierte Prozesse oder KI-Dienste angestoßen werden, können Angreifer erhebliche Kontrolle über technische Kernfunktionalitäten erhalten – inklusive Remote-Kommandos, die weit über die Website hinausreichen.
Noch bedrohlicher: Die Integration von KI-Modellen (z. B. GPT-Services oder andere spezialisierte Engines) in Marketing-, Support- oder HR-Prozesse kann ohne sichere Trennung und Transparenz der Zugriffspfade erhebliche Compliance-, Datenschutz- und Reputationsrisiken erzeugen.
Der Zwischenfall zeigt: Wer die digitale Peripherie als „Sache der Entwickler“ betrachtet, öffnet Angreifern unbeabsichtigt Tür und Tor.
Laut Branchenanalysen dauert es im Schnitt über 200 Tage, bis ein kompromittiertes Plug-in- oder CMS-Modul in einer Produktivumgebung entdeckt wird – oft erst, wenn bereits Kundendaten abgeflossen oder Administratorrechte durch Dritte verwendet wurden. Unternehmen, die auf WordPress setzen, sind hiervon nicht ausgenommen – im Gegenteil: Die Plattform ist eines der am weitesten verbreiteten CMS-Systeme weltweit und damit ein beliebtes Angriffsziel.
Für Unternehmen mit digitalisierten Serviceprozessen oder E-Commerce-Architektur ist der Schaden im Ernstfall immens:
Was mit einer schlecht gesicherten REST-API beginnt, findet seinen Höhepunkt oft in einem komplexen Cyberangriff mit direkter Auswirkung auf Geschäftsprozesse.
Diese Entwicklungen machen eines deutlich: IT-Sicherheit ist heute nicht mehr nur eine technische Disziplin, sondern wesentlicher Bestandteil unternehmerischer Resilienz. Das bedeutet für Sie als Verantwortungsträger auf C-Level:
Sie müssen über die Infrastruktur Ihrer digitalen Wertschöpfungskette ebenso fundiert informiert sein wie über Ihre Bilanzkennzahlen.
Denn Sicherheit ist längst kein Kostenfaktor mehr – sondern ein Business Enabler.
Stellen Sie sich diese Fragen regelmäßig – nicht erst nach einem Vorfall.
Aus Sicht von ProSec ist dieser Fall exemplarisch für ein grundlegendes Dilemma moderner IT-Architekturen: Die hohe Innovationsgeschwindigkeit in Feldern wie „No-Code-Plattformen“, KI-Anbindung und CMS-Automatisierung ist Fluch und Segen zugleich. Die schnelle Integration neuer Funktionen durch Plug-ins kaschiert häufig, dass dabei Sicherheitskonzepte, Rechtearchitekturen und Versionsmanagement auf Managementebene entweder nicht bekannt sind oder nicht proaktiv berücksichtigt werden.
Zudem fehlen in vielen mittelständischen Unternehmen umfassende Security-Governance-Konzepte, um eine Plug-in-Policy definieren, durchsetzen und überwachen zu können. Die Folge: Schatten-IT, unkontrollierte Update-Zyklen und enorme Abweichungen zwischen Managementwahrnehmung („Wir sind sicher“) und tatsächlicher Exposition.
Eine effektive Sicherheitsstrategie muss heute drei Perspektiven abdecken:
Als Spezialist für IT-Sicherheitsanalysen, Penetrationstest und ganzheitliche Sicherheitsstrategie ist ProSec Partner zahlreicher mittelständischer und international operierender Unternehmen.
Unsere Services zielen darauf ab, IT-Risiken nicht nur technisch abzubilden, sondern wirtschaftlich verstehbar zu machen – für Entscheider, die nicht alles bis hin zum Binärcode erklären müssen, aber konkrete Handlungsoptionen brauchen.
Im Fall von WordPress und Drittanbieter-Plug-ins bieten wir:
Wir helfen Ihnen, aus Unsicherheit echte Entscheidungssicherheit zu machen – damit aus einem Vorfall kein Fall fürs Management wird.
Mehr Informationen zur Vorgehensweise und den angebotenen Leistungen finden Sie unter:
