Vier WordPress-Plugin-Sicherheitslücken im Frühjahr 2026

Vier weit verbreitete WordPress-Plugins haben zwischen Ende März und Mitte April 2026 jeweils eine Sicherheitslücke gemeldet. Laut Patchstack und Wordfence kann nur eine der vier Schwachstellen ohne Konto auf der Website ausgenutzt werden, weshalb die Dringlichkeit ungleich verteilt ist. Hier ist, worum es jeweils geht, welche Versionen betroffen sind und was zu tun ist.

Was bekannt wurde

Laut Patchstack sind folgende vier Plugins betroffen:

• MW WP Form (laut Wordfence rund 200.000 aktive Installationen). Am 10. April 2026 wurde eine Sicherheitslücke vom Typ "Unauthenticated Arbitrary File Move via regenerate_upload_file_keys" gemeldet, die Versionen bis einschließlich 5.1.1 betrifft. Das ist die schwerwiegendste der vier Schwachstellen, weil für die Ausnutzung kein Login nötig ist.
• Perfmatters (laut Wordfence rund 200.000 aktive Installationen). Am 3. April 2026 wurde eine Schwachstelle vom Typ "Authenticated (Subscriber+) Arbitrary File Deletion via 'delete' Parameter" gemeldet, die Versionen bis einschließlich 2.5.9.1 betrifft. Ein Angreifer benötigt mindestens ein Subscriber-Konto auf der Website.
• Tutor LMS Pro (laut Wordfence rund 30.000 aktive Installationen). Wordfence beschreibt eine Authentifizierungs-Bypass-Schwachstelle. Patchstack listet zudem ein Broken-Access-Control-Problem für Tutor LMS bis Version 3.9.7, gemeldet am 20. April 2026.
• Smart Slider 3 (laut Wordfence rund 800.000 aktive Installationen). Am 27. März 2026 wurde eine Schwachstelle vom Typ "Authenticated (Subscriber+) Arbitrary File Read via actionExportAll" gemeldet, die Versionen bis einschließlich 3.5.1.33 betrifft. Patchstack führt 3.5.1.34 als aktuelle Version.

Warum die Authentifizierungs-Anforderung wichtig ist

Eine "unauthentifizierte" Schwachstelle bedeutet, dass ein Angreifer aus dem offenen Internet direkt zuschlagen kann. Eine "authentifizierte (Subscriber+)" Schwachstelle setzt voraus, dass der Angreifer zuerst ein Konto auf der Website auf Subscriber-Ebene oder höher besitzt. Viele WordPress-Websites akzeptieren standardmäßig Subscriber-Registrierungen (jeder, der sich für einen Kommentar oder einen Kurs anmeldet, bekommt ein solches Konto), daher ist dieses Risiko real, aber kleiner als im unauthentifizierten Fall.

In der Praxis ist die MW-WP-Form-Lücke diejenige, die zuerst gepatcht werden sollte. Wenn Ihre Website MW WP Form für Kontakt- oder Anfrageformulare verwendet, behandeln Sie dies als dringend. Die anderen drei sind ebenfalls zeitnah zu patchen, der Weg zur Ausnutzung ist aber länger.

Was zu tun ist

1. Öffnen Sie im WordPress-Admin den Menüpunkt Plugins und prüfen Sie, ob eines der vier Plugins installiert ist.
2. Falls ja, vergleichen Sie die installierte Version mit den oben genannten Bereichen.
3. Aktualisieren Sie auf die neueste verfügbare Version. Für Smart Slider 3 nennt Patchstack 3.5.1.34 als gepatchte Version.
4. Prüfen Sie nach dem Update Ihre Website auf Auffälligkeiten: neue Admin-Benutzer, geänderte Dateien im Uploads-Verzeichnis oder unbekannte geplante Aufgaben. Die unauthentifizierte MW-WP-Form-Schwachstelle ist seit mehreren Wochen bekannt, eine opportunistische Ausnutzung ist also plausibel.
5. Wenn Sie nicht sofort aktualisieren können (etwa wegen abgelaufener Lizenz), beschränken Sie den Zugriff auf die Plugin-Adminseiten per IP oder deaktivieren Sie das Plugin bis zum Patch.

Hintergründe zu typischen Angriffsmustern auf WordPress-Plugins finden Sie in unserem Leitfaden zu verwundbaren WordPress-Plugins. Eine Übersicht zur grundlegenden Absicherung bietet die Sicherheits-Checkliste für kleine Unternehmen.

Was bedeutet das für Ihre Website?

WordPress-Websites werden weitaus häufiger über Plugins angegriffen als über den WordPress-Kern selbst. Eine monatliche Routine aus "Plugins prüfen, Updates einspielen, Benutzerliste anschauen" schließt die meisten dieser Lücken, bevor jemand sie ausprobiert. Keine der vier Meldungen erfordert eine Panikreaktion, aber wenn Sie MW WP Form installiert haben und es noch auf Version 5.1.1 oder älter läuft, sollten Sie heute patchen.

Quellen: Patchstack — MW WP Form, Patchstack — Perfmatters, Patchstack — Tutor LMS, Patchstack — Smart Slider 3.