Ein beliebtes WordPress-Plugin sorgt aktuell für Kopfzerbrechen bei Website-Betreibern: Das Forminator-Plugin, das auf über 600.000 WordPress-Websites installiert ist, weist eine kritische Sicherheitslücke auf. Was das für dich bedeutet und wie du dich schützen kannst, erfährst du hier.
Inhaltsverzeichnis
Was ist passiert?
IT-Sicherheitsforscher von Wordfence haben eine Schwachstelle entdeckt, durch die Angreifer verwundbare WordPress-Instanzen vollständig übernehmen können. Das klingt erstmal bedrohlich – aber keine Panik! Ein Update zum Schließen der Lücke steht bereits bereit.
Die technischen Details
Die Sicherheitslücke trägt die Bezeichnung CVE-2025-6463 und erhielt eine Bewertung von 8.8 auf der CVSS-Skala (High). Was macht sie so gefährlich? Durch die Schwachstelle können nicht authentifizierte Angreifer beliebige Dateipfade in einer Formular-Übermittlung angeben, wodurch Forminator die spezifizierte Datei löscht, sofern die Übermittlung gelöscht wird.
Besonders kritisch wird es, wenn Angreifer die "wp-config.php" löschen und in der Folge unter Umständen Schadcode ausführen können. Diese Datei ist das Herzstück jeder WordPress-Installation – ohne sie gerät die Website in den Setup-Modus und kann komplett übernommen werden.
Welche Websites sind betroffen?
Forminator ist ein beliebtes Plugin für WordPress-Formulare, das auf mehr als 600.000 Websites aktiv ist. Es ermöglicht dir, mit einem visuellen Drag-and-Drop-Builder verschiedene Formulare zu erstellen – von Kontaktformularen über Umfragen bis hin zu Quizzes.
Verwundbar ist Forminator bis Version 1.44.2. Falls du das Plugin nutzt und noch nicht aktualisiert hast, solltest du schnell handeln.
So schützt du dich
Die gute Nachricht: Die Fehlerkorrektur bringt Version 1.44.3 vom Montag dieser Woche oder neuer. Die WPMU DEV-Entwickler haben eine umfassende Korrektur in Version 1.44.3 am 30. Juni 2025 veröffentlicht.
Was das Update behebt
Das gepatchte Plugin fügt eine Dateipfad-Überprüfung zur Löschfunktion hinzu, die nun nur noch Dateien löscht, die über Formularfelder mit der Markierung 'upload' oder 'signature' hochgeladen wurden und sich im WordPress-Uploads-Verzeichnis befinden.
Deine nächsten Schritte
- Sofort handeln: Überprüfe, ob du Forminator verwendest
- Update durchführen: Aktualisiere auf Version 1.44.3 oder neuer
- Plugin-Verwaltung überprüfen: Navigiere zu "Plugins" → "Installierte Plugins" in deinem WordPress-Dashboard
- Verdächtige Aktivitäten überwachen: Überprüfe Formular-Übermittlungen und Löscheinstellungen auf verdächtige Aktivitäten
Warum passiert so etwas?
WordPress-Plugins sind praktische Erweiterungen, aber sie können auch Sicherheitsrisiken bergen. Mitte Juni wurde bereits eine Schwachstelle im WordPress-Plugin AI Engine bekannt, das auf mehr als 100.000 Webseiten zum Einsatz kommt. Das zeigt: Sicherheitslücken in beliebten Plugins sind leider keine Seltenheit.
Präventive Maßnahmen für die Zukunft
Regelmäßige Updates sind das A und O
- Installiere WordPress-, Plugin- und Theme-Updates zeitnah
- Aktiviere automatische Updates für Sicherheits-Patches
- Nutze nur Plugins von vertrauenswürdigen Entwicklern
Zusätzliche Sicherheitsmaßnahmen
- Verwende starke, einzigartige Passwörter
- Installiere ein bewährtes Sicherheits-Plugin
- Erstelle regelmäßige Backups deiner Website
- Beschränke Login-Versuche
Weniger ist mehr
Installiere nur die Plugins, die du wirklich brauchst. Jedes zusätzliche Plugin erhöht potenzielle Angriffsflächen. Deaktiviere und lösche ungenutzte Plugins vollständig.
Der Ernstfall: Website gehackt?
Falls du vermutest, dass deine Website kompromittiert wurde:
- Ruhe bewahren und schnell handeln
- Passwörter ändern (WordPress-Admin, Datenbank, FTP)
- Backup einspielen, falls vorhanden
- Experten hinzuziehen oder deinen Hosting-Anbieter kontaktieren
- Sicherheits-Plugin zur Malware-Bereinigung nutzen
Bleib sicher und halte deine Plugins immer aktuell! Bei Fragen zur WordPress-Sicherheit oder unserem Hosting steht dir unser Support-Team gerne zur Verfügung.
WhatsApp
