Bremer24 Logo

Navigation Home Kontakt Impressum
News News Archiv News schreiben Meistgelesen
ThemenDSLKreditStromKrankenkasse

Newsletter abbestellen

WordPress 7.0 ist da, doch Plugins bleiben das Risiko

Sie befinden sich: Home > News Archiv > Webmaster > WordPress 7.0 ist da...

WordPress 7.0 ist da, mit KI im Core und einer gestrichenen Vorzeigefunktion. Doch die wichtigere Zahl steht woanders: 2025 wurden über 11.000 Sicherheitslücken gemeldet, fast alle in Plugins. Das verschiebt, worauf es bei der Absicherung ankommt.

Am 20. Mai 2026 ist WordPress 7.0 erschienen, mit Codenamen „Armstrong". Geplant war der Start eigentlich für den 9. April zur WordCamp Asia in Mumbai. Das Core-Team verschob ihn um sechs Wochen, weil die größte angekündigte Funktion Probleme machte. Für Seitenbetreiber ist die Version aus zwei Gründen wichtig. Der erste ist das Release selbst. Der zweite ist eine Zahl aus der Sicherheitsstatistik, die fast untergeht: 2025 wurden im WordPress-Umfeld 11.334 neue Sicherheitslücken gefunden, ein Plus von 42 Prozent gegenüber 2024.

Beide Geschichten hängen zusammen. Der Kern von WordPress wird stabiler. Das Risiko liegt woanders.

Was WordPress 7.0 wirklich bringt, und was nicht

Die Schlagzeile war monatelang die Echtzeit-Kollaboration: mehrere Leute bearbeiten gleichzeitig denselben Beitrag, wie in Google Docs. Genau diese Funktion hat es nicht ins Release geschafft. Das Team strich sie kurz vor Schluss, nach wiederkehrenden Bugs, Problemen mit der Serverlast und dem Speicherverbrauch. Die Verzögerung ging auf dasselbe Konto: Die Synchronisierung lief über Post-Meta und legte sitewide die Query-Caches lahm, sobald jemand den Editor öffnete. Die Lösung war eine neue Datenbanktabelle. Die Kollaboration ist jetzt für Version 7.1 im August geplant.

Was tatsächlich drin ist, klingt kleiner, ist aber die eigentliche Richtungsentscheidung. WordPress 7.0 baut ein KI-Fundament direkt in den Core. Über einen neuen AI Client, die Abilities API und einen Connectors-Bereich können sich Seiten mit OpenAI, Google Gemini oder Anthropic Claude verbinden. Wichtig zum Mitschreiben: Das ist kein eingebauter KI-Schreiber. Es ist die Verkabelung, damit Plugins KI-Funktionen anbinden können, ohne dass jede für sich eine eigene Verbindung basteln muss.

Dazu kommt das erste echte Redesign des Admin-Bereichs seit rund 2013. Die statischen Listentabellen weichen den React-basierten DataViews mit sofortiger Filterung. Es gibt eine Befehlspalette per Tastenkürzel und eine eigene Seite zum Verwalten von Schriften. Die Revisionen lassen sich jetzt visuell vergleichen. Neu sind außerdem zwei Blöcke, Icon und Breadcrumbs, eine Lightbox im Galerie-Block und Sichtbarkeitsregeln, mit denen man Blöcke je nach Bildschirmgröße ein- oder ausblendet, ohne eigenes CSS.

Für den Alltag der meisten Seiten ändert 7.0 erst mal wenig. Wer kein Team-Editing braucht und KI nicht im Backend nutzen will, bekommt vor allem ein aufgeräumteres Backend. Das ist kein Grund zur Eile, aber ein guter Grund, die eigene Umgebung sauber zu halten. Empfohlen wird PHP 8.3 oder neuer.

Der Core ist sicher. Das Problem sind die Plugins.

Jetzt zur Zahl von oben. Von den 11.334 Lücken aus 2025 entfielen 91 Prozent auf Plugins und 9 Prozent auf Themes. Im WordPress-Core selbst gab es ganze sechs, alle mit niedriger Priorität. Anders gesagt: Der Teil, den das Core-Team kontrolliert, ist erstaunlich solide. Gefährlich wird es bei dem, was man dazu installiert.

Das ist der Punkt, den viele übersehen. Ein Update auf 7.0 macht den Unterbau sicherer. Es sagt nichts darüber aus, ob die zwölf Plugins auf der Seite es auch sind. Und die Lage dort hat sich verschärft. Hoch eingestufte, also für Massenangriffe geeignete Lücken stiegen um 113 Prozent. 2025 wurden mehr schwere Lücken gefunden als in den beiden Jahren davor zusammen. Ein Treiber sind kostenpflichtige Plugins von Marktplätzen wie Envato. Sie bekommen weniger Aufmerksamkeit von Sicherheitsforschern, was nicht heißt, dass sie sicherer sind. Bei den geprüften Premium-Komponenten waren 76 Prozent real ausnutzbar, und sie tauchten dreimal so oft in tatsächlichen Angriffen auf wie kostenlose.

Das Zeitfenster ist auf Stunden geschrumpft

Früher hatte man nach einer Veröffentlichung Tage, um zu reagieren. Das ist vorbei. Bei den am stärksten angegriffenen Lücken liegt die gewichtete Spanne bis zum ersten Massenangriff bei fünf Stunden. Rund die Hälfte der schweren Lücken wird binnen 24 Stunden ausgenutzt. Die erste Nacht nach der Veröffentlichung entscheidet.

KI beschleunigt beide Seiten. Wordfence fand die unten beschriebene Burst-Statistics-Lücke über sein KI-System schon am 15. Tag. Dieselben Werkzeuge nutzen Angreifer, um aus einer frischen Lücke in Minuten einen funktionierenden Angriff zu bauen. Auf das reine Aktualisieren kann man sich ohnehin nicht verlassen: Bei 46 Prozent der Lücken gab es zum Zeitpunkt der Veröffentlichung noch keinen Patch vom Hersteller.

Und der Hoster fängt das meiste nicht ab. In zwei Tests blockierten die üblichen Schutzlösungen nur 26 Prozent der Angriffe, bei WordPress-spezifischen Lücken sogar nur 12. Die am häufigsten ausgenutzte Kategorie heißt Broken Access Control, also fehlerhafte Rechteprüfung. Für eine klassische Firewall sieht so ein Angriff aus wie ganz normaler, eingeloggter Verkehr. Es gibt kein verdächtiges Muster zum Blockieren.

Die Fälle aus 2026, die das zeigen

Im Mai traf es Burst Statistics, ein Analyse-Plugin auf rund 200.000 Seiten. Die Lücke CVE-2026-8181 hatte den Höchstwert 9.8. Ein nicht angemeldeter Angreifer konnte sich als Administrator ausgeben und über die REST-API neue Admin-Konten anlegen. Gepatcht wurde mit Version 3.4.2 am 12. Mai. Wer das Plugin nutzt, sollte mindestens auf diese Version aktualisieren.

Parallel lief es beim Avada Builder, einem Page-Builder mit über einer Million Installationen. Dort steckten ein Arbitrary File Read und eine SQL-Injection, über die sich unter anderem Passwort-Hashes auslesen ließen. Wer Avada einsetzt, braucht Version 3.15.3 oder neuer.

Der dritte Fall ist der lauteste. Beim Plugin Gravity SMTP (CVE-2026-4020) konnte ein offener API-Endpunkt Konfigurationsdaten, API-Schlüssel und OAuth-Tokens preisgeben. Wordfence blockierte über 17 Millionen Angriffsversuche, mit einer Spitze um den 6. Juni. Wer Gravity SMTP mit angebundenen E-Mail-Diensten betrieben hat, sollte von einer Kompromittierung ausgehen und die hinterlegten Zugangsdaten neu setzen.

Auch alte Lücken bleiben gefährlich. Bei den Plugins GutenKit und Hunk Companion blockierte Wordfence über 8,7 Millionen Versuche, ein Jahr nach Bekanntwerden der Schwachstelle. Angegriffen werden die Seiten, die nie aktualisiert wurden.

Was jetzt konkret zu tun ist

Auf 7.0 aktualisieren, ja, aber nicht am ersten Tag auf der Produktivseite. Das Core-Update selbst ist meist unkritisch. Das Risiko sind Konflikte mit Plugins, Themes und Page-Buildern, die tief in den Editor eingreifen. Also vorher ein Backup, in einer Testumgebung prüfen, dann live gehen.

Den größeren Hebel hat man bei den Plugins selbst. Jedes installierte Plugin ist Angriffsfläche, auch ein deaktiviertes. Wer ausmistet, was er nicht braucht, verkleinert das Ziel. Für den Rest sind automatische Updates kein Komfort mehr, sondern Schutz. Bei einem Fenster von fünf Stunden ist das manuelle Update einmal im Monat zu langsam.

Beim Auswählen neuer Plugins lohnt ein Blick darauf, ob der Hersteller einen geregelten Sicherheitsprozess hat. Das wird bald ohnehin zum Pflichtkriterium. Ab dem 11. September 2026 verlangt der EU Cyber Resilience Act von kommerziellen Plugins ein Meldeverfahren für Schwachstellen, damit sie an Nutzer in der EU verkauft werden dürfen. Bei Premium-Plugins von Marktplätzen ist besondere Vorsicht angebracht, gerade weil sie weniger geprüft, aber öfter angegriffen werden.

Auf die Firewall des Hosters allein sollte man sich nicht verlassen. Eine WordPress-spezifische Schutzschicht, die einzelne Lücken virtuell patcht, schließt die Tage zwischen Bekanntwerden und eigenem Update. Und wenn ein Verdacht im Raum steht: Ein sauberer Scan ist heute kein Beweis mehr. Moderne Schadsoftware zeigt Suchmaschinen anderen Inhalt als Besuchern, manche Varianten nisten sich im Arbeitsspeicher ein und schreiben sich nach jeder Bereinigung sofort neu. Nach jeder möglichen Offenlegung gilt deshalb: Zugangsdaten wechseln.

Was das über WordPress 2026 sagt

Die zwei Nachrichten ergeben zusammen ein klares Bild. Der Unterbau, auf dem man baut, ist gut und wird mit 7.0 KI-fähig. Die Teile, die man dranschraubt, sind das Risiko. Diese Lücke wird eher größer, weil per KI zusammengeklickte Plugins gerade in Massen entstehen und WordPress dahinter nur noch das stabile Fundament liefert. Schützen tut am Ende nicht das eine große Update. Es ist die unspektakuläre Disziplin, die eigene Plugin-Liste klein zu halten und zu wissen, was darauf steht.

plugins wordpress woanders core vorzeigefunktion wichtigere

Erstellt am: 26.06.2026 um 23:34 Uhr von Bremer24

Webung: Hier bekommen Sie PHP fähigen Webspace der mit Ökostrom betrieben wird ab bereits 2 Euro/ Monat für ihre Homepage. Zusätzlich ist eine eigene Internetadresse mit enthalten.

Kommentar schreiben

Teilen Sie uns Ihre Meinung mit. Ihr Kommentar wird nach Pruefung veroeffentlicht.

Pflichtfelder


Neusten News in der Kategorie "Webmaster"

• SSL-Zertifikate 2026: Nur noch 47 Tage statt 398
Einmal im Jahr das SSL-Zertifikat erneuern? Damit ist bald Schluss. Bi...
• Cyber Resilience Act: Was ab 11. September 2026 gilt
Ab dem 11. September 2026 müssen Hersteller digitaler Produkte aktiv a...
• GEO: So wird Ihre Website in KI-Antworten zitiert
Wer bei Google ganz oben steht, taucht in ChatGPT oder Perplexity oft ...
• Google Spam Update Juni 2026: Das sollten Sie tun
Am 24. Juni hat Google das June 2026 Spam Update ausgerollt. Ohne Blog...
• Token-Explosion: So ruinieren MCP-Server Ihren Coding-Workfl...
MCP-Server wirken wie clevere Helfer, doch sie können Ihren KI-Co...
• Neue Hürden für Entwickler: So meistern Sie den raueren Arbe...
Die Suche nach Programmierjobs wird zur Herausforderung. Automatisieru...
• FAIR ersetzt WordPress.org-API mehr Kontrolle für Entwickle...
Die Linux Foundation startet mit FAIR einen neuen, dezentralen Paketma...
• GitHub-Sicherheitslücke: Private und gelöschte Repos bleiben...
GitHub hat ein erhebliches Sicherheitsproblem: Gelöschte und private R...
• Barrierefreiheitsstärkungsgesetz: Website-Sperrung für Firme...
Unternehmen in Deutschland stehen unter enormem Druck: Bis Juni 2025 m...
• Supply-Chain-Attacke: Polyfill.io verteilt Schadcode über CD...
Mehrere Sicherheitsforscher warnen vor einer aktiven Bedrohung durch d...
Blogverzeichnis Bloggerei.de - Computerblogs Facebook Fanpage RSS-Feed
- Home - News Archiv - Impressum - Datenschutz | Copyright © by SchubertMedia