Zum Inhalt springen
jproxx
de en
← Zurück zum Blog

Sicherheitswarnung: Kritische UpdraftPlus-Lücke (CVE-2026-10795) — WordPress jetzt prüfen und aktualisieren

22. Juni 2026 · jproxx Security

In UpdraftPlus, einem der meistgenutzten Backup-Plugins für WordPress (über 3 Millionen aktive Installationen), wurde eine kritische Sicherheitslücke bekannt: CVE-2026-10795. Sie wird bereits aktiv ausgenutzt. Wenn Sie WordPress mit UpdraftPlus betreiben, sollten Sie jetzt handeln.

Was ist betroffen?

  • Plugin: UpdraftPlus: WP Backup & Migration
  • Betroffene Versionen: alle Versionen bis einschließlich 1.26.4 (Free) bzw. Premium vor 2.26.5
  • Behoben in: 1.26.5 (Premium 2.26.5)
  • Einstufung: Authentifizierungs-Bypass, CVSS 8.1 (hoch/kritisch)

Besonders relevant ist die Lücke für Seiten mit aktivem Migrator- oder UpdraftCentral-Key (UpdraftCentral-Fernverwaltung).

Warum das so gefährlich ist

Die Schwachstelle steckt in der UpdraftCentral-Fernkommunikation (UDRPC). Durch eine fehlerhafte Signaturprüfung lässt sich die Authentifizierung umgehen — ein Angreifer benötigt kein Benutzerkonto. In der Folge können unauthentifizierte Angreifer Befehle als Administrator ausführen, etwa ein schädliches Plugin hochladen und aktivieren. Das führt zu Remote Code Execution und damit zur vollständigen Übernahme der Website.

Die Lücke wird in freier Wildbahn ausgenutzt: Wordfence meldete, innerhalb von 24 Stunden rund 4.987 Angriffsversuche blockiert zu haben.

Was Sie jetzt tun sollten

  1. Sofort aktualisieren — UpdraftPlus auf Version 1.26.5 oder höher bringen.
  2. Auf Anzeichen einer Kompromittierung prüfen, falls Sie eine verwundbare Version im Einsatz hatten:
    • unerwartete Administrator-Konten in WordPress,
    • kürzlich geänderte PHP-Dateien außerhalb der üblichen Plugin-Verzeichnisse,
    • unbekannte Einträge im WordPress-Cron (geplante Aufgaben),
    • Auffälligkeiten in den Zugriffs-Logs mit Bezug zur Remote-Communications-Bibliothek.
  3. Im Zweifel: Plugin vorübergehend deaktivieren bzw. den UpdraftCentral-/Migrator-Key entfernen, bis das Update eingespielt ist.

Sie sind jproxx-Managed-WordPress-Kunde?

Für unsere Managed-WordPress-Tarife übernehmen wir Updates und Sicherheits-Patches. Wir behalten kritische Schwachstellen wie diese im Blick und aktualisieren die Website. Wenn Sie unsicher sind, ob Ihre Installation bereits auf 1.26.5+ läuft, oder Hilfe bei der Kompromittierungs-Prüfung brauchen, melden Sie sich bei uns — wir prüfen das gemeinsam.

Quellen: Wordfence/NVD/GitHub Advisory Database (CVE-2026-10795). Diese Information dient der Sicherheits-Aufklärung; maßgeblich sind die offiziellen Hinweise von UpdraftPlus und Ihrer Sicherheits-/Hosting-Lösung.