Kritische Sicherheitslücke betrifft 40’000+ WordPress-Webseiten
WordPress ist das weltweit am häufigsten eingesetzte Content-Management-System (CMS). Die hohe Verbreitung macht es leistungsfähig – aber auch zu einem bevorzugten Ziel für Angriffe. Konsequente Wartung, Updates und Sicherheitsüberwachung sind daher Pflicht.
Aktuell sorgt eine Arbitrary File Read-Schwachstelle im Plug-in UiCore Elements – Free Elementor widgets and templates für Handlungsbedarf. Betroffen sind alle Versionen bis einschließlich 1.3.0. Das behobene Release ist 1.3.1. Wir haben für unsere Wartungskundinnen und -kunden, die UiCore einsetzen, innerhalb weniger Stunden nach Bekanntwerden das Update eingespielt. Allen anderen raten wir dringend, umgehend zu handeln.
Was ist passiert?
In UiCore Elements wurde eine Lücke entdeckt, über die ohne Anmeldung beliebige Dateien auf dem Server gelesen werden können (z. B. wp-config.php). Solche Dateien enthalten häufig Zugangsdaten, Salts/Keys oder weitere vertrauliche Informationen – mit potenziell gravierenden Folgen bis hin zur vollständigen Kompromittierung einer Website.
Betroffene Versionen & Patches
- UiCore Elements: Verwundbar ≤ 1.3.0 → Update auf 1.3.1 oder höher.
- Elementor (bezogene Schwachstelle): In Verbindung mit UiCore spielte eine hart abgesicherte Admin-only-Schwachstelle in
Import_Images::import()eine Rolle. Update auf Elementor ≥ 3.30.3 empfohlen.
Wie wird die Lücke ausgenutzt?
Der verwundbare Codepfad in UiCore Elements nutzt intern eine Import-Funktion, die unzureichend abgesichert war. In Summe führte das zu einer fehlenden Autorisierungsprüfung und ungenügenden Dateinamen-Kontrollen – und damit zu unauthentisierter Arbitrary File Read. Die Angriffshürde ist niedrig; ein Exploit lässt sich automatisieren. Obgleich zum Zeitpunkt der Erstberichte keine breite Ausnutzung beobachtet wurde, ist wegen der Einfachheit des Angriffs von einer schnellen Operationalisierung in Bot-Netzen auszugehen.
Was wir bereits für Wartungskunden getan haben
Für alle Websites unter unserem Wartungsvertrag, auf denen UiCore Elements eingesetzt wird, haben wir die Schwachstelle frühzeitig identifiziert und die Updates binnen weniger Stunden nach Veröffentlichung eingespielt – inklusive Funktionsprüfung.
Was Sie jetzt tun sollten
- Version prüfen und updaten: Im WordPress-Backend unter Plugins → Installierte Plugins die Version von UiCore Elements kontrollieren. Auf 1.3.1 oder neuer aktualisieren. Falls Elementor genutzt wird: ≥ 3.30.3.
- Backups & Keys: Vorab Backup erstellen. Bei Verdacht auf ausgelesene Dateien (z. B.
wp-config.php) Datenbank-Passwörter, Salts/Keys rotieren. - Logs prüfen: Webserver- und WordPress-Logs auf ungewöhnliche Zugriffe auf REST-API-Endpunkte und wiederholte 404/500-Muster sichten.
- Security-Scan: Einen aktuellen Core/Plugin-Integritätscheck und Malware-Scan ausführen.
- Least Privilege: Admin-Konten minimieren, 2FA aktivieren, automatische Sicherheits-Updates für sicherheitsrelevante Releases erwägen.
Hintergrund: Warum WordPress-Updates so wichtig sind
Die Stärke von WordPress liegt in seiner Flexibilität und der großen Plug-in-Ökosphäre. Genau diese Vielfalt erhöht aber die Angriffsfläche. Regelmäßige Updates, Monitoring und eine klare Update-Strategie sind der beste Schutz – idealerweise abgesichert durch Staging-Tests, Backups und Rollback-Pläne.
Wie können wir helfen?
Jetzt 50 % Neukundenrabatt sichern! Den Rabattcode erhalten Sie direkt per E-Mail.
