Seit April 2026 nutzen Angreifer eine schwerwiegende Schwachstelle im beliebten WordPress-Caching-Plug-in Breeze Cache aktiv aus. Die Lücke ermöglicht es, ohne Authentifizierung Schadcode auf betroffene Server hochzuladen und Backdoors zu installieren. Mit über 400.000 aktiven Installationen ist die potenzielle Angriffsfläche erheblich. Wer Breeze Cache auf seiner WordPress-Installation einsetzt, sollte umgehend handeln.
Inhaltsverzeichnis
Starte jetzt mit WordPress bei easyname
Mit dem easyname WordPress Hosting bist Du in nur einem Klick online. Schnelle Ladezeiten, kostenlose SSL-Zertifikate und tägliche Backups sind inklusive – so kannst Du Dich voll und ganz auf Deine Inhalte konzentrieren.
Was genau ist passiert?
Das Sicherheitsteam von Wordfence hat dokumentiert, dass Angreifer die Schwachstelle CVE-2026-3844 gezielt ausnutzen. Die Lücke wird als „kritisch" eingestuft und basiert auf einer unzureichenden Validierung von Datei-Uploads. Konkret können Angreifer ohne vorherige Anmeldung beliebige Dateien auf den Server hochladen, darunter PHP-Backdoors, die ihnen dauerhaften Zugriff auf das kompromittierte System verschaffen.
Die dokumentierten Zahlen verdeutlichen das Ausmaß: Wordfence hat insgesamt mehr als 30.000 Angriffsversuche registriert, mit Spitzenwerten von knapp 5.000 Exploit-Versuchen an einem einzigen Tag. Der Entdecker der Schwachstelle erhielt von Wordfence eine Bug-Bounty-Prämie von rund 2.700 US-Dollar.
Welche Installationen sind betroffen?
Die Schwachstelle betrifft alle Breeze-Cache-Installationen vor Version 2.4.5. Allerdings gibt es eine wichtige Einschränkung: Der Angriffsvektor setzt voraus, dass die Funktion „Host Files Locally – Gravatars" in den Plug-in-Einstellungen aktiviert ist. Diese Option ist standardmäßig deaktiviert, was den Kreis der unmittelbar verwundbaren Installationen deutlich einschränkt.
Das bedeutet jedoch nicht, dass du dich in falscher Sicherheit wiegen solltest. Konfigurationen können sich über die Zeit ändern, und nicht jeder Admin hat den vollen Überblick über alle aktiven Einstellungen sämtlicher Plug-ins. Ein Update auf die gepatchte Version ist daher in jedem Fall die richtige Maßnahme.
Sofortmaßnahmen für betroffene WordPress-Installationen
Wenn du Breeze Cache einsetzt, solltest du die folgenden Schritte in dieser Reihenfolge durchführen:
- Prüfe in deinem WordPress-Backend unter „Plug-ins", welche Version von Breeze Cache installiert ist. Alles unterhalb von Version 2.4.5 ist potenziell verwundbar.
- Aktualisiere das Plug-in umgehend auf Version 2.4.5 oder höher. Das Update steht über das offizielle WordPress-Plug-in-Verzeichnis zur Verfügung.
- Kontrolliere in den Breeze-Cache-Einstellungen, ob die Funktion „Host Files Locally – Gravatars" aktiviert ist. Falls ja, deaktiviere sie bis zum erfolgreichen Update.
- Überprüfe dein Dateisystem auf unbekannte PHP-Dateien, insbesondere in den Verzeichnissen wp-content/uploads und wp-includes. Ungewöhnliche Dateinamen oder kürzlich geänderte Dateien können Hinweise auf eine Kompromittierung sein.
- Gleiche die Server-Logs mit den von Wordfence veröffentlichten Indicators of Compromise ab, insbesondere den dokumentierten Angreifer-IP-Adressen.
Falls deine Installation bereits kompromittiert wurde
Wenn du Anzeichen einer Kompromittierung findest, reicht ein einfaches Plug-in-Update nicht mehr aus. Eine einmal platzierte Backdoor bleibt auch nach dem Patchen der ursprünglichen Schwachstelle aktiv. In diesem Fall musst du das gesamte Dateisystem systematisch bereinigen, alle Passwörter ändern (WordPress-Nutzer, Datenbank, FTP/SFTP) und die Datenbank auf unbekannte Admin-Konten prüfen.
Im Idealfall hast du ein sauberes Backup, das vor dem Zeitraum der Kompromittierung erstellt wurde und als Ausgangspunkt für eine Wiederherstellung dienen kann. Das setzt natürlich voraus, dass regelmäßige Backups überhaupt existieren, ein Punkt, der bei vielen WordPress-Installationen leider vernachlässigt wird.
Grundsätzliche Lehren für die WordPress-Sicherheit
Vorfälle wie dieser zeigen ein wiederkehrendes Muster: Caching-Plug-ins, die auf Dateioperationen angewiesen sind, bieten bei mangelhafter Input-Validierung eine besonders große Angriffsfläche. Die Kombination aus weiter Verbreitung und unauthentifiziertem Zugriff macht solche Schwachstellen für Angreifer extrem attraktiv.
Für den laufenden Betrieb einer WordPress-Seite lassen sich daraus mehrere Schlüsse ziehen. Automatische Updates für Plug-ins sollten zumindest für Sicherheitsupdates aktiviert sein. Eine Web Application Firewall auf Server-Ebene kann Exploit-Versuche abfangen, bevor sie die Anwendungsschicht erreichen. Und die Anzahl der installierten Plug-ins sollte grundsätzlich auf das tatsächlich Notwendige beschränkt werden, denn jedes Plug-in erweitert die potenzielle Angriffsfläche.
Sicherheit beginnt bei der Hosting-Umgebung
Die Absicherung einer WordPress-Installation endet nicht bei Plug-in-Updates. Die zugrunde liegende Hosting-Infrastruktur spielt eine ebenso wichtige Rolle. Isolierte Hosting-Umgebungen, aktuelle PHP-Versionen, serverseitige Malware-Scans und automatisierte Backups sind Faktoren, die im Ernstfall den Unterschied zwischen einer schnellen Wiederherstellung und einem Totalverlust ausmachen.
Wenn du eine WordPress-Seite betreibst und Wert auf eine sichere, gut gewartete Basis legst, bietet dir easyname mit dem WordPress Hosting eine speziell auf WordPress abgestimmte Umgebung. Regelmäßige Backups, aktuelle Server-Software und einfache Verwaltung sind hier von Haus aus integriert. Für Projekte, bei denen du volle Kontrolle über die Server-Konfiguration benötigst, etwa um eigene Firewall-Regeln oder spezifische PHP-Einstellungen umzusetzen, sind die VPS Server von easyname die passende Wahl.
Auch die grundlegende Absicherung deiner Online-Präsenz verdient Aufmerksamkeit: Eine sauber konfigurierte Domain mit DNSSEC, ein zuverlässiges Webhosting-Paket und professionelle E-Mail-Adressen mit Spam-Filterung bilden das Fundament, auf dem du sicher aufbauen kannst.
WhatsApp
