Seiten Design Webdesign & WordPress
Ratgeber

Zwei kritische WP-Sicherheitslücken vom 17. Juli und weshalb du sofort handeln solltest

Zwei kritische WordPress-Sicherheitslücken: jetzt handeln

Foto von Justin Morgan auf Unsplash

Gestern, am 17. Juli 2026, sind zwei kritische Sicherheitslücken im WordPress-Kern öffentlich geworden. Nicht in irgendeinem Plugin, sondern in WordPress selbst. Beide lassen sich ganz ohne Login ausnutzen, beide gelten als hochgefährlich, und beide werden laut Patchstack bereits aktiv für Massenangriffe verwendet. Wenn du eine WordPress-Seite betreibst, ist das kein Thema für nächste Woche.

Ich erkläre kurz, was dahintersteckt, was die Lücken praktisch bedeuten und wie du jetzt am besten vorgehst. Vorweg das Wichtigste für alle, die ich betreue: Eure Seiten sind bereits abgesichert. Mehr dazu weiter unten.

Was gestern bekannt wurde

Es geht um zwei getrennte Schwachstellen, beide behoben mit WordPress 7.0.2:

Lücke 1Lücke 2
ArtRemote Code Execution (Broken Access Control)SQL-Injection
CVECVE-2026-63030CVE-2026-60137
CVSS9.1 (kritisch)9.8 (kritisch)
Zugriff nötigkeiner, unauthentifiziertkeiner, unauthentifiziert
BetroffenWordPress bis 7.0.1WordPress bis 7.0.1
Behoben in7.0.27.0.2

Betroffen sind alle Versionen bis einschließlich 7.0.1, ausdrücklich auch die älteren Zweige 6.8 und 6.9. Auf einer CVSS-Skala bis 10 liegen beide im obersten Bereich. Zum Einordnen: Alles ab 9.0 gilt als „kritisch”, die Stufe, bei der man nicht diskutiert, sondern handelt.

Lücke 1: Fremder Code auf deinem Server

Die erste Schwachstelle ist eine fehlende Rechteprüfung (Broken Access Control), über die ein Angreifer eine Aktion auslösen kann, die eigentlich Administratoren vorbehalten ist. Im schlimmsten Fall führt das zu Remote Code Execution: Ein Unbekannter führt ohne Anmeldung eigenen Code auf deinem Server aus und übernimmt die Seite. Ab da ist alles möglich, von untergeschobener Werbung über Weiterleitungen auf Betrugsseiten bis zum kompletten Datenklau.

Lücke 2: Direkter Griff in die Datenbank

Die zweite Lücke ist eine SQL-Injection mit dem noch höheren Wert 9.8. Dabei schleust ein Angreifer eigene Befehle in die Datenbank ein, in der WordPress alles speichert: Inhalte, Benutzerkonten, Passwort-Hashes. Auch das funktioniert ohne Login. Ein Angreifer kann damit Daten auslesen, verändern oder sich selbst ein Administrator-Konto anlegen. Für eine Seite mit Kundendaten oder einem Shop ist das der Ernstfall.

Warum diese beiden Lücken so gefährlich sind

Drei Dinge kommen hier zusammen, die sonst selten gleichzeitig auftreten.

Erstens sitzen die Lücken im Kern, nicht in einer Erweiterung. Normalerweise stammen rund 97 % aller WordPress-Schwachstellen aus Plugins und Themes, wie ich in den fünf Sicherheitsmaßnahmen beschrieben habe. Eine Lücke im Kern trifft dagegen jede einzelne WordPress-Seite, unabhängig davon, welche Plugins sie nutzt.

Zweitens braucht ein Angreifer keinerlei Zugangsdaten. Unauthentifiziert heißt: Er muss kein Passwort erraten und kein Konto haben. Er ruft die Seite auf, und das reicht. Solche Lücken lassen sich vollautomatisch gegen Millionen von Seiten gleichzeitig ausrollen.

Drittens sind beide bereits als aktiv ausgenutzt eingestuft. Automatisierte Bots scannen das Netz permanent und schlagen bei kritischen Kernlücken oft in unter 48 Stunden zu, teils schon Stunden nach der Veröffentlichung. Wer erst am Wochenende updatet, kann zu spät dran sein.

Was du jetzt tun solltest

  1. Version prüfen. Öffne dein WordPress-Dashboard. Unten rechts oder unter „Werkzeuge” steht deine Version. Alles bis 7.0.1 ist verwundbar.
  2. Auf 7.0.2 aktualisieren. Das ist der eigentliche Fix. Am besten vorher ein Backup ziehen, damit du im Zweifel zurück kannst.
  3. Kein Update möglich? Virtuell patchen. Wenn ein sofortiges Update gerade nicht geht, blockiert eine Web Application Firewall (etwa über Patchstack oder Cloudflare) den konkreten Angriff, bis du nachziehst. Dieses virtuelle Patching überbrückt genau das gefährliche Zeitfenster.
  4. Auf Einbruchsspuren achten. Unbekannte Admin-Konten, fremde Dateien im Upload-Ordner, plötzliche Weiterleitungen: Bei solchen Zeichen gehört die Seite umgehend geprüft.

Meine Wartungskunden sind bereits abgesichert

Wenn ich deine Seite betreue, musst du an dieser Stelle nichts tun. Ich habe direkt nach Bekanntwerden der Lücken reagiert und alle betreuten WordPress-Seiten auf den sicheren Stand gebracht, teils über das Update auf 7.0.2, teils über virtuelles Patching als Sofortschutz, während das Update kontrolliert nachlief.

Genau dafür gibt es die WordPress-Wartung: Sie sorgt dafür, dass jemand aufpasst, wenn so etwas passiert, und zwar sofort und nicht erst, wenn du zufällig davon liest. Kritische Kernlücken wie diese sind der Grund, warum eine gute Absicherung aus mehreren Schichten besteht statt nur aus dem gelegentlichen Update-Klick.

Fazit

Zwei kritische, unauthentifizierte Lücken im WordPress-Kern, beide bereits im Umlauf, beide behoben mit 7.0.2. Für jede WordPress-Seite gilt jetzt dasselbe: Version prüfen, aktualisieren, und falls das gerade nicht geht, per Firewall überbrücken. Wer eine laufende Wartung hat, ist diesen Weg schon gegangen. Wer nicht, sollte die nächste Stunde dafür nutzen, bevor es die Bots tun.

Häufige Fragen

Bin ich betroffen, wenn meine Seite automatische Updates aktiviert hat?

Vielleicht schon abgesichert, sicher ist es aber nicht. WordPress verteilt Sicherheitsupdates zwar automatisch, das kann sich aber um Stunden verzögern, und genau dieses Zeitfenster wird bei aktiv ausgenutzten Lücken sofort angegriffen. Außerdem sind automatische Updates auf vielen Seiten deaktiviert oder auf bestimmte Zweige eingeschränkt. Prüfe im Dashboard unter Werkzeuge oder in der Fußzeile, ob wirklich 7.0.2 (oder höher) läuft. Solange dort etwas bis 7.0.1 steht, bist du angreifbar.

Woran erkenne ich, ob meine Seite schon gehackt wurde?

Typische Anzeichen sind unbekannte Administratoren, plötzlich langsame Ladezeiten, unerklärliche Weiterleitungen, fremde Dateien im Upload-Ordner oder Warnungen von Google. Ein sauberes Bild bekommst du über einen Malware-Scan und einen Abgleich der Kern-Dateien gegen das Original. Wenn du unsicher bist, prüfe ich das gern für dich, bevor aus einem Verdacht ein echter Schaden wird.

Ich bin kein Kunde. Was soll ich am schnellsten tun?

Zwei Schritte: Erstens die WordPress-Version prüfen und, falls möglich, sofort auf 7.0.2 aktualisieren. Zweitens ein Backup ziehen, bevor du etwas änderst. Kommst du an das Update gerade nicht heran, wende dich an deinen Hoster oder deinen Webentwickler, damit die Lücke über eine Firewall-Regel vorübergehend blockiert wird. Danach lohnt ein Blick auf die grundsätzliche Absicherung, damit du beim nächsten Mal nicht wieder gegen die Uhr arbeitest.

← Alle Beiträge

Lass uns über deine Webseite reden.

Erzähl mir kurz von deinem Projekt. Ich melde mich persönlich zurück. Kostenlos, unverbindlich und ohne Vertriebsgeschwätz.

Kostenloses Erstgespräch oder direkt anrufen: 0172 300 11 13
Referenzen

Unternehmen, die mit mir arbeiten

Vom Handwerksbetrieb bis zum Onlineshop. Eine Auswahl der Marken, die auf meine Arbeit vertrauen.

Logo Familienwerk Sölden
Logo Gerber GmbH
Logo hand:sam cosmetics
Logo HORUS Advisory Group
Logo Riegel Bio Weine
Logo M.A.D Rechtsanwälte