Schwerwiegende Sicherheitslücke in WordPress-Plugin bedroht Tausende Websites

Eine kritische Hintertür in einem weit verbreiteten WordPress-Add-on ermöglicht Angreifern die vollständige Übernahme von geschätzt 20.000 Websites. Die Schwachstelle im Plugin „LA-Studio Element Kit for Elementor“ gilt als extrem gefährlich.

Kritische Lücke mit höchster Gefahrenstufe

Die Sicherheitslücke mit der Kennung CVE-2026-0920 erhielt auf der CVSS-Skala die Höchstbewertung von 9,8 von 10 Punkten. Sie betrifft alle Versionen des Plugins bis einschließlich 1.5.6.3. Unbefugte Angreifer können sich ohne Anmeldung Administratorrechte verschaffen und so die komplette Kontrolle über eine betroffene Website erlangen. Entdeckt wurde die Schwachstelle am 12. Januar 2026 durch Sicherheitsforscher, die sie über das Wordfence Bug Bounty Program meldeten.

So funktioniert der Angriff

Der Fehler liegt in einer unsicheren Benutzerregistrierungsfunktion. Angreifer nutzen einen spezifischen Parameter namens lakit_bkrole, um sich während der Registrierung Administratorrechte zuzuweisen. Der bösartige Code war offenbar absichtlich verschleiert worden – ein deutliches Indiz für eine gezielt eingebaute Hintertür.

Eine unbemerkte Hintertür wie in diesem Fall erlaubt Angreifern die vollständige Kontrolle über Websites – und viele Betreiber sind dafür nicht ausreichend geschützt. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt aktuelle Angriffsformen (inkl. Plugin‑Backdoors), zeigt priorisierte Sofortmaßnahmen wie Patch‑Management, Web Application Firewalls (WAF) und regelmäßige Sicherheitsscans und nennt praktikable Schritte für kleine Teams. Ideal für Website‑Administratoren und IT‑Verantwortliche. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen

Mit Administratorzugriff haben Hacker freie Hand: Sie können schädliche Dateien hochladen, Inhalte manipulieren oder löschen, Spam einstreuen, Besucher auf Phishing-Seiten umleiten oder weitere Schadsoftware installieren, um dauerhaft Zugriff zu behalten.

Dringende Handlungsempfehlung für Betreiber

Der wichtigste Schritt ist sofortiges Handeln. Website-Administratoren müssen das Plugin unverzüglich auf die aktuelle, gepatchte Version aktualisieren. Der Hersteller LA-Studio hat bereits am 14. Januar 2026 ein Update bereitgestellt, das die Lücke schließt.

Zusätzlich empfiehlt sich eine gründliche Sicherheitsüberprüfung:
* Auf unbekannte Administrator-Konten im WordPress-Dashboard prüfen und diese umgehend entfernen.
* Website-Dateien und Inhalte auf unbefugte Änderungen untersuchen.
* Für Nutzer der Sicherheitslösung Wordfence: Premium-Kunden erhalten seit dem 13. Januar Schutz durch eine spezielle Firewall-Regel. Nutzer der kostenlosen Version folgen am 12. Februar 2026.

Das Problem mit Drittanbieter-Erweiterungen

Der Vorfall unterstreicht erneut die Sicherheitsrisiken im WordPress-Ökosystem. Während der Kern der Software gut gewartet wird, stellen Tausende Plugins und Themes von verschiedenen Entwicklern eine komplexe Angriffsfläche dar. Elementor selbst ist ein populärer und sicherer Page-Builder, doch Erweiterungen wie diese können Schwachstellen einführen.

In jüngster Zeit gab es bereits weitere Sicherheitsprobleme bei Elementor-Add-ons, wenn auch keine so schwerwiegenden wie diese Hintertür. So wurden etwa in den Plugins „Absolute Addons For Elementor“ und „Element Invader – Template Kits for Elementor“ Schwachstellen entdeckt, die unbefugten Zugriff ermöglichten.

Proaktive Sicherheit als beste Verteidigung

Die schnelle Entdeckung und Behebung zeigt den Wert von Bug-Bounty-Programmen. Doch der Fall macht auch deutlich: Die Sicherheit einer WordPress-Website ist nur so stark wie ihr schwächstes Glied.

Eine proaktive Sicherheitsstrategie ist daher unerlässlich:
* Nur wirklich notwendige Plugins installieren.
* Alle Erweiterungen und Themes stets aktuell halten.
* Software nur von seriösen Entwicklern mit gutem Sicherheits-Ruf beziehen.
* Eine Web Application Firewall (WAF) als zusätzliche Schutzschicht in Betracht ziehen.
* Regelmäßige Sicherheitsscans und Benutzerüberprüfungen durchführen.

PS: Viele erfolgreiche Angriffe beginnen mit veralteten Plugins oder falschen Benutzerrechten. Dieses Gratis‑E‑Book führt Sie Schritt für Schritt durch eine einfache Checkliste: Plugins prüfen und patchen, unbekannte Admin‑Konten entfernen, WAF einsetzen und regelmäßige Backups einrichten. Zusätzlich enthält es Hinweise zur Organisation von Bug‑Bounty‑Programmen und Security‑Screenings sowie praxisnahe Tipps, wie kleine Teams Angreifer frühzeitig stoppen. Jetzt Cyber‑Security‑Guide anfordern