Kritische Sicherheitslücke in UpdraftPlus auf allen von SiteGround gehosteten WordPress-Websites behoben

Falls Ihre Website das Backup-Plugin UpdraftPlus verwendet, hier die Kurzfassung: In dem Plugin wurde eine kritische Sicherheitslücke entdeckt, und wir haben es auf allen von uns gehosteten betroffenen Websites bereits auf die gepatchte Version aktualisiert. Sie sind geschützt und müssen nichts weiter unternehmen.

Im Folgenden erfahren Sie, was passiert ist, was wir unternommen haben und worauf Sie achten sollten.

Ihre Website ist bereits geschützt

Am 11. Juni 2026 hat unser Entwicklerteam das UpdraftPlus-Plugin auf allen gehosteten Websites, auf denen eine anfällige Version lief, zwangsweise aktualisiert. Jede betroffene Installation wurde auf Version 1.26.5 umgestellt, die den offiziellen Fix enthält. Mehr als 128.000 Websites auf unserer Plattform liefen mit einer anfälligen Version, und alle wurden gepatcht.

Wir haben die Upgrade-Pfade vor der Bereitstellung getestet und keine Probleme festgestellt. Wir erwarten keine Website-Ausfälle infolge dieses Updates.

Was ist die Sicherheitslücke?

Die als CVE-2026-10795 erfasste Sicherheitslücke ist ein „Unauthenticated Authentication Bypass“, der UpdraftPlus-Versionen bis einschließlich 1.26.4 betrifft. Einfach ausgedrückt ermöglichte sie es Angreifern, Administratorzugriff auf eine WordPress-Website zu erlangen, ohne einen Benutzernamen oder ein Passwort zu kennen. Von dort aus konnten sie Code auf der Website ausführen – was in etwa das Schlimmste ist, was bei einer Plugin-Sicherheitslücke passieren kann.

Der Aspekt der „Nicht-Authentifizierung“ macht diese Sicherheitslücke so kritisch. Bei vielen Schwachstellen muss ein Angreifer bereits über einen gewissen Zugriff verfügen, beispielsweise über ein Abonnenten- oder Mitarbeiterkonto. Hier war überhaupt nichts erforderlich. Jede Website, auf der eine anfällige Version lief, war für jeden zugänglich, der von der Sicherheitslücke wusste.

Was wir getan haben und wann

Sobald die Sicherheitslücke bekannt wurde, benötigte unser Team weniger als eine Stunde, um proaktiv das Update auf die gepatchte Version des Plugins auf allen betroffenen Websites durchzuführen. Wir handelten sofort, um das Sicherheitslückenfenster zu schließen, bevor Angreifer es in großem Umfang ausnutzen konnten, anstatt darauf zu warten, dass Website-Betreiber das Update manuell durchführen oder in irgendeiner Weise davon betroffen werden.

So sah die Reaktion aus:

• Wir identifizierten alle gehosteten Websites, auf denen UpdraftPlus in den Versionen 1.24.x, 1.25.x und 1.26.x lief.
• Wir haben Upgrades von 1.24.x auf 1.26.x und von anderen betroffenen Versionen auf 1.26.5 im Voraus getestet, um sicherzustellen, dass das Update keine Probleme verursachen würde.
• Wir haben mehr als 128.000 betroffene Installationen zwangsweise auf die gepatchte Version 1.26.5 aktualisiert.
• Der gesamte Vorgang war in ca. 52 Minuten abgeschlossen.

Wird das Update Auswirkungen auf meine Website haben?

Wir gehen nicht davon aus. Die Plugin-Updates zwischen diesen Versionen wurden vor der Veröffentlichung getestet, und es traten keine Probleme auf.

Wenn Sie dennoch ganz sichergehen möchten, können Sie zwei Dinge schnell überprüfen:

• Bestätigen Sie, dass Ihr Backup-Zeitplan in UpdraftPlus noch so konfiguriert ist, wie Sie ihn eingestellt haben.
• Überprüfen Sie, ob Ihr letztes Backup erfolgreich abgeschlossen wurde.

Beides dauert über Ihr WordPress-Dashboard weniger als eine Minute.

Warum wir Updates bei kritische Sicherheitslücken erzwingen

Wenn eine Sicherheitslücke kritisch, leicht ausnutzbar und öffentlich bekannt ist, zählt jede Stunde Verzögerung. Angreifer beginnen innerhalb weniger Stunden nach einer solchen Bekanntgabe mit der Suche nach anfälligen Websites, und wenn wir darauf warten würden, dass jeder Website-Betreiber das Update manuell durchführt, wären in der Zwischenzeit Tausende von Websites ungeschützt.

In solchen Situationen patchen wir zuerst und benachrichtigen direkt danach. Wir sind der Meinung, dass ein proaktives Update immer die bessere Lösung ist, als Websites der vollständigen Übernahme auszusetzen.

Generell empfehlen wir außerdem, die automatischen Updates für Plugins nach Möglichkeit aktiviert zu lassen. Dies ist die wirksamste Maßnahme, um Sicherheitslücken wie dieser immer einen Schritt voraus zu sein.