Vier der meistinstallierten WordPress-Plugins haben im März 2026 still und leise Sicherheits-Patches ausgerollt. Elementor, Yoast SEO, WPForms und Really Simple Security kommen zusammen auf über 29 Millionen aktive Installationen. Zwei der vier Lücken lassen sich ohne jeden Login ausnutzen. Kein Hersteller hat Alarm geschlagen, kein Banner blinkte im wp-admin. Wer Auto-Updates aktiv hat, ist fein raus. Wer manuell pflegt und im März nicht hingeschaut hat, betreibt aktuell verwundbare Software.
Das Wichtigste in Kürze:
- Vier Plugins, 29 Millionen Installationen: Elementor (10 Mio.), Yoast SEO (10 Mio.), WPForms (6 Mio.), Really Simple Security (3 Mio.).
- Zwei Lücken ohne Authentifizierung: WPForms (CVE-2026-25339, Sensitive Data Exposure) und Really Simple Security (CVE-2026-32461, Broken Access Control) lassen sich von außen anfahren.
- DSGVO-relevant: Eine Datenexposition im populärsten Formular-Plugin kann meldepflichtig werden.
- Patchstack 2026: Premium-Plugins haben inzwischen mehr ausgenutzte Lücken als kostenlose Varianten.
Welche vier Patches sind im März 2026 ausgerollt?
Elementor 3.35.8 behebt Information-Disclosure-Lücke CVE-2026-1206. Yoast SEO 27.2 patcht Stored-XSS-Schwachstelle CVE-2026-3427Elementor 3.35.8 schließt CVE-2026-1206, eine Information-Disclosure-Lücke im weltweit meistgenutzten Page Builder. Die Ausnutzung erfordert mindestens Subscriber-Level, also einen registrierten Account. Bei E-Commerce-Shops mit offener Registrierung entspricht das einer Türschwelle in Knöchelhöhe.
Ja, ich suche die beste Agentur für mein Unternehmen
Yoast SEO 27.2 behebt CVE-2026-3427, ein Stored Cross-Site Scripting im jsonText-Block-Attribut. Ein Account mit Contributor-Rechten reicht, um JavaScript zu injizieren, das im Browser jedes Editors oder Admins ausgeführt wird. Wer Gastautoren oder externe Redakteure einbindet, hat hier ein konkretes Problem.
WPForms 1.9.9.2 patcht CVE-2026-25339, eine Sensitive Data Exposure ohne jede Authentifizierung. WPForms ist das meistgenutzte Formular-Plugin auf WordPress und sammelt Kontaktdaten, Zahlungsinformationen, Bewerbungen, Anmeldungen. Eine Datenexposition genau dort ist nicht irgendeine Lücke, das ist die Lücke, die Aufsichtsbehörden interessiert.
Really Simple Security 9.5.8 schließt CVE-2026-32461, eine Broken-Access-Control-Lücke ohne Authentifizierung. Das Plugin ist ironischerweise als Sicherheitswerkzeug etabliert und auf rund drei Millionen Sites im Einsatz.
Wie ernst ist das wirklich?
Kritische Sicherheitslücken in WPForms und Really Simple Security ermöglichen unauthentifizierte Angriffe. 86 Prozent der Phishing-Attacken 2026 nutzen KIZwei Stufen Dringlichkeit. Die beiden unauthentifizierten Lücken bei WPForms und Really Simple Security sind die akute Baustelle. Angreifer brauchen keinen Account, kein Login, keine Berechtigung. Ein Bot scannt das offene Web, findet eine verwundbare Version, schlägt zu. Wie KnowBe4 berichtet, laufen 86 Prozent aller Phishing-Angriffe im Jahr 2026 bereits KI-gestützt. Solche Scans sind keine Theorie, sondern Tagesgeschäft.
DSGVO-Risiko bei WPForms. Sobald über das Plugin personenbezogene Daten in Formularen erfasst werden, greift Artikel 33 DSGVO. Eine bekannte Schwachstelle, die zur Exposition geführt haben könnte, ist potenziell meldepflichtig. Wer WPForms auf <= 1.9.9.1 betreibt, sollte nicht nur updaten, sondern auch prüfen, ob die Datenschutz-Dokumentation aktualisiert werden muss.
Stille Patches sind die gefährlichsten. Niemand schlägt Alarm, also fühlt sich niemand zuständig. Genau darauf wetten Angreifer.
— Michael Dobler, Herausgeber Dr. WebWas sollten WordPress-Betreiber jetzt prüfen?
Versionskontrolle von Plugins: Elementor 3.35.8+, Yoast SEO 27.2, WPForms 1.10.0.2, Really Simple Security 9.5.8 erforderlichVersionsstand abgleichen. Unter Plugins → Installierte Plugins die Versionsnummern gegen die Patch-Versionen abgleichen. Elementor muss auf 3.35.8 oder höher, Yoast SEO auf 27.2, WPForms auf 1.9.9.2 (aktuell ist bereits 1.10.0.2), Really Simple Security auf 9.5.8. Wer auf eine dieser Versionen aktualisiert, ist mindestens diesen Monat sicher.
Auto-Updates aktivieren. In der WordPress-Sicherheits-Praxis ist der Auto-Update-Schalter pro Plugin das wirksamste Sicherheits-Werkzeug, das WordPress out of the box mitbringt. Speziell bei kritischen Plugins mit Millionen-Reichweite gibt es keinen rationalen Grund, ihn aus zu lassen.
Patchstack-Trend lesen. Der State-of-WordPress-Security-Report 2026 zeigt einen Trendbruch: Premium-Plugins haben inzwischen mehr aktiv ausgenutzte Lücken als ihre kostenlosen Pendants. Der Grund liegt im Update-Verhalten. Premium-Plugins werden oft nicht über das WordPress-Repository ausgeliefert und entgehen damit dem klassischen Update-Mechanismus. Wer hier nachlässig wird, übernimmt ein Risiko, das mit kostenlosen Alternativen nicht existieren würde.
Wartungsroutine etablieren. Monatliche Updates kosten weniger Zeit als ein einziger Hack-Vorfall. Eine strukturierte WordPress-Wartung für eine durchschnittliche Site kostet weniger als das, was ein gehackter Shop bei 36 Stunden Downtime an Umsatz verliert.
Was bedeutet das für Mittelständler?
Geschäftsführer sollten ihre Agentur direkt fragen, ob WordPress-Sites auf aktuellem Patchstand sind. Schnelle Antwort signalisiert professionelle WartungWer als Geschäftsführer keine eigene IT hat und WordPress über eine Agentur betreuen lässt: Greifen Sie zum Telefon. Eine konkrete Frage genügt: Sind unsere Sites auf den März-2026-Patchstand? Wenn die Antwort länger als zehn Sekunden braucht, ist sie schon falsch. Eine gut gewartete Site weiß ihren Patchstand innerhalb eines Klicks.
Wer die Site selbst pflegt: 15 Minuten Zeit nehmen, die vier Plugins prüfen, gegebenenfalls aktualisieren, Backup vorher anlegen. Das ist die Sorte Aufgabe, die im Kalender steht oder gar nicht passiert.
Mehr Newshunger?
Fraunhofer-Institute in Dresden entwickeln Roboter mit künstlicher Sensitivität durch bionik-inspirierte Technologien
