Achtung WordPress-Nutzer: Kritische Sicher­heits­lücke im AI Engine Plugin gefährdet 100.000 Websites

Achtung WordPress-Nutzer: Kritische Sicher­heits­lücke im AI Engine Plugin gefährdet 100.000 Websites

Du nutzt WordPress und das beliebte AI Engine Plugin? Dann solltest du jetzt unbedingt handeln! Eine kürzlich entdeckte Sicherheitslücke bedroht über 100.000 WordPress-Websites und könnte Hackern die komplette Kontrolle über deine Seite ermöglichen.

Was ist passiert?

Die IT-Sicherheitsforscher von Wordfence haben eine schwerwiegende Schwachstelle im WordPress-Plugin AI Engine entdeckt, das auf mehr als 100.000 Websites installiert ist. Die Lücke ermöglicht es Angreifern, ihre Benutzerrechte zu erweitern und so die volle Kontrolle über die Website zu übernehmen.

Das Problem geht auf eine unzureichende Autorisierung zurück, die die Ausweitung der Nutzerrechte über eine Schwachstelle im Model Context Protocol (MCP) ermöglicht. Die Sicherheitslücke wurde als CVE-2025-5071 klassifiziert und erhielt eine CVSS-Bewertung von 8.8 (Risiko "hoch").

Wie funktioniert der Angriff?

Authentifizierte Angreifer, die bereits Zugriffsrechte auf Subscriber-Level oder höher haben, können vollen Zugriff auf das MCP erlangen und kritische Befehle wie 'wp_update_user' ausführen. Dadurch können sie ihre Zugriffsrechte auf Administrator-Niveau erweitern - und damit praktisch die komplette Kontrolle über deine Website übernehmen.

Die gute Nachricht: Die Schwachstelle lässt sich nur dann missbrauchen, wenn die Dev-Tools und das MCP in den Einstellungen aktiviert wurden. Standardmäßig sind diese abgeschaltet.

Sofort­maß­nahmen: Das musst du jetzt tun!

1. Prüfe deine AI Engine Version

Kontrolliere in deinem WordPress-Dashboard unter "Plugins", ob du das AI Engine Plugin installiert hast und welche Version läuft. Betroffen sind die Versionen 2.8.0 bis 2.8.3.

2. Update auf Version 2.8.4

Die seit Mittwoch verfügbare Version 2.8.4 von AI Engine dichtet das Sicherheitsleck ab. Führe das Update umgehend durch:

• Gehe zu "Dashboard" → "Updates"
• Suche nach AI Engine
• Klicke auf "Jetzt aktualisieren"

3. Prüfe deine Einstellungen

Auch wenn die kritischen Funktionen standardmäßig deaktiviert sind, überprüfe sicherheitshalber:

• Gehe zu den AI Engine Einstellungen
• Stelle sicher, dass "Dev-Tools" und "MCP" deaktiviert sind (falls du sie nicht bewusst benötigst)

Warum sind WordPress-Plugins so anfällig?

WordPress-Plugins sind ein zweischneidiges Schwert: Sie erweitern die Funktionalität deiner Website enorm, können aber auch Sicherheitsrisiken bergen. Das liegt daran, dass:

• Millionen von Websites das gleiche Plugin nutzen - ein perfektes Ziel für Hacker
• Nicht alle Entwickler haben die gleichen Sicherheitsstandards
• Updates werden nicht immer zeitnah eingespielt
• Veraltete Plugins ohne Updates stellen ein erhebliches Sicherheitsrisiko dar

Keine Einzelfall: WordPress-Sicherheit im Fokus

Das AI Engine Plugin ist kein Einzelfall. Erst im Mai wurden Sicherheitslücken im Plugin TheGem bekannt, die mehr als 82.000 WordPress-Seiten gefährdet haben. Ende Mai klaffte eine als "kritisch" eingestufte Lücke im TI WooCommerce Wishlist Plugin, die erst kürzlich geschlossen wurde.

Diese Häufung zeigt: WordPress-Sicherheit ist ein fortlaufender Prozess, den du nicht vernachlässigen solltest.

Dein Sicherheits-Aktionsplan: 7 wichtige Maßnahmen

1. Regelmäßige Updates einhalten

Führe mindestens einmal pro Woche, besser alle zwei Wochen, Updates durch. Halte WordPress, Themes und Plugins immer aktuell. Die richtige Reihenfolge ist wichtig:

1. WordPress Core
2. Plugins
3. Themes

2. Sichere Passwörter verwenden

Da sehr viele Angriffe über die WordPress Login-Maske stattfinden, ist ein sicheres Passwort unverzichtbar. Verwende niemals Passwörter wie "123456" oder "admin".

3. Sicherheits-Plugin installieren

Ein gutes Sicherheits-Plugin kann viele Angriffe automatisch abwehren. Empfehlenswerte Optionen sind:

• Wordfence: Leistungsstarke Web Application Firewall und Malware-Scanner
• All In One WP Security & Firewall: Kostenlose Grundausstattung für langfristigen Schutz
• Sucuri: Professioneller Schutz mit Cloud-basierter Firewall

4. Regelmäßige Backups erstellen

Erstelle vor jedem Update ein vollständiges Backup und speichere es außerhalb deines Hosting-Servers. So kannst du deine Website im Notfall schnell wiederherstellen.

5. Nur notwendige Plugins installieren

Installiere nur die Plugins, die du unbedingt benötigst. Weniger Plugins bedeuten weniger potenzielle Angriffsflächen.

6. Benutzerrechte minimieren

Vergib nur die minimal notwendigen Benutzerrechte. Nicht jeder Nutzer braucht Administrator-Zugang.

7. Login-URL ändern

Du kannst deine Login-URL im perfmatters Plugin ändern und somit vor Angreifern verstecken.

Profi-Hosting für maximale Sicherheit

Neben den Plugin-Updates ist auch die Wahl des richtigen Hosting-Anbieters entscheidend für deine WordPress-Sicherheit. Ein professioneller Hoster sollte dir bieten:

• Automatische Updates für WordPress Core
• Tägliche Backups deiner Website
• Malware-Scanning und -Entfernung
• Web Application Firewall auf Server-Ebene
• 24/7 Überwachung deiner Website

Fazit: Sicherheit ist kein Zufall

Die Sicherheitslücke im AI Engine Plugin zeigt wieder einmal: WordPress-Sicherheit ist ein fortlaufender Prozess, nicht ein einmaliges Setup. Mit den richtigen Maßnahmen - regelmäßigen Updates, sicheren Passwörtern, einem guten Sicherheits-Plugin und professionellem Hosting - kannst du deine Website jedoch zuverlässig schützen.

Handle jetzt: Prüfe deine AI Engine Installation und führe das Update auf Version 2.8.4 durch. Deine Website und deine Besucher werden es dir danken!

Sichere WordPress-Umgebung gewünscht?

Bei checkdomain bieten wir dir nicht nur sichere Domain-Registrierung und professionelles Hosting mit automatischen Updates und täglichen Backups, sondern auch E-Mail-Sicherheit und Marketing-Services für dein Online-Business. Entdecke unsere WordPress-Hosting-Pakete mit integriertem Sicherheitsschutz und sorge dafür, dass deine Website von Anfang an sicher läuft.