Mehrere kritische WordPress-Plugin-Schwachstellen (CVE-2026-1743, CVE-2026-1891, CVE-2026-2034) setzen über 8 Millionen Websites der Remote-Code-Ausführung aus. NIS2-regulierte Unternehmen stehen vor der Pflicht zur 24-Stunden-Meldung — hier ist Ihr Aktionsplan.
Eine kritische Schwachstelle für nicht authentifizierte Remote-Code-Ausführung in WP Advanced Forms (Versionen < 3.4.2) ermöglicht Angreifern die Ausführung beliebigen PHP-Codes über manipulierte Formularübermittlungen. Über 3 Millionen aktive Installationen betroffen.
Eine SQL-Injection-Schwachstelle in ElementorPro Widgets (Versionen < 4.1.7) ermöglicht authentifizierten Angreifern mit Abonnenten-Zugang die Extraktion vollständiger Datenbankinhalte. 2,8 Millionen Websites gefährdet.
Eine Authentifizierungsumgehung in WooCommerce Payments Gateway (Versionen < 6.9.3) ermöglicht nicht authentifizierten Angreifern die Eskalation zu Administratorrechten. 2,5 Millionen E-Commerce-Shops potenziell betroffen.
| CVE | Plugin | CVSS | Aktive Installationen | Gepatchte Version |
|---|---|---|---|---|
| CVE-2026-1743 | WP Advanced Forms | 9.8 | 3,1M | 3.4.2 |
| CVE-2026-1891 | ElementorPro Widgets | 9.1 | 2,8M | 4.1.7 |
| CVE-2026-2034 | WooCommerce Payments | 9.4 | 2,5M | 6.9.3 |
Zusammen betreffen diese Schwachstellen über 8 Millionen WordPress-Installationen weltweit. Sicherheitsforscher bei Wordfence bestätigten aktive Ausnutzung seit dem 25. Februar 2026.
Gemäß der EU-NIS2-Richtlinie (Richtlinie 2022/2555), die seit Oktober 2024 durchsetzbar ist, stehen als wesentlich oder wichtig eingestufte Organisationen vor strengen Pflichten:
Artikel 23 der NIS2 schreibt vor, dass Einrichtungen innerhalb von 24 Stunden nach Kenntnisnahme eines bedeutenden Vorfalls eine Frühwarnung einreichen müssen.
Eine vollständige Vorfallmeldung — einschließlich Schweregradbewertung, Auswirkungsanalyse und Kompromittierungsindikatoren — muss innerhalb von 72 Stunden beim nationalen CSIRT eingereicht werden.
wp plugin list --status=active auf allen WordPress-Instanzen auswp-config.php, WebshellsErhalten Sie Echtzeit-Schwachstellenwarnungen, NIS2-Compliance-Überwachung und automatische Sicherheitsbriefings täglich.
Kostenlose Testversion starten →Bleiben Sie wachsam. — Das KENSAI-Sicherheitsteam