Kritische WordPress-Sicherheitslücke: : Angreifer kapern Websites per Ferninstallation : Eine Zero-Day-Schwachstelle im WordPress-Theme „Alone“ ermöglicht es Unbefugten, per Fernzugriff Schadcode auszuführen – und komplette Websites zu übernehmen.
Eine schwerwiegende Sicherheitslücke im beliebten WordPress-Theme „Alone“ wird aktiv ausgenutzt. Die Schwachstelle erlaubt Angreifern die Installation beliebiger Plugins aus der Ferne – ohne Authentifizierung. Hunderttausende Angriffsversuche wurden bereits registriert. Jetzt ist schnelles Handeln gefragt.
Sicherheitsforscher und WordPress-Administratoren schlagen Alarm: Eine kritische Schwachstelle im WordPress-Theme „Alone – Charity Multipurpose Non-profit“ wird derzeit aktiv von Angreifern ausgenutzt, um Webseiten vollständig zu kompromittieren. Die Sicherheitslücke mit der Kennung CVE-2025-5394 wird mit einem CVSS-Score von 9,8 bewertet – ein Hinweis auf die besonders hohe Gefahr für betroffene Systeme.
Fehlerhafte Plugin-Funktion ermöglicht vollständige Übernahme
Der Ursprung des Problems liegt in der Funktion alone_import_pack_install_plugin() des Themes. Aufgrund fehlender Berechtigungsprüfungen erlaubt diese AJAX-Funktion (Asynchronous JavaScript and XML) die Installation beliebiger Plugins durch nicht angemeldete Nutzer. Normalerweise muss eine Webseite neu geladen werden, wenn sie Daten vom Server anfordert (zum Beispiel nach dem Klick auf einen Button). Mit AJAX kann eine Seite im Hintergrund Informationen senden oder empfangen – ohne sichtbare Unterbrechung für den Nutzer.
In diesem Fall können damit Dateien von beliebigen Quellen hochgeladen und ausgeführt werden – ein typischer Fall von Remote Code Execution.
Laut dem Sicherheitsunternehmen Wordfence betrifft die Schwachstelle alle Versionen bis einschließlich Version 7.8.3. Die Lücke wurde erst mit dem Update auf Version 7.8.5 am 16. Juni 2025 geschlossen.
Aktive Ausnutzung schon vor der Offenlegung
Besorgniserregend: Die ersten Angriffsversuche wurden bereits am 12. Juli beobachtet – zwei Tage vor der offiziellen Offenlegung der Sicherheitslücke. Das legt nahe, dass Angreifer gezielt Codeänderungen verfolgen, um neu geschlossene Schwachstellen frühzeitig auszunutzen.
Die Angriffe erfolgen automatisiert von verschiedenen IP-Adressen weltweit, unter anderem:
- 193.84.71.244
- 87.120.92.24
- 146.19.213.18
- 185.159.158.108
- 188.215.235.94
- 146.70.10.25
- 74.118.126.111
- 62.133.47.18
- 198.145.157.102
- 2a0b:4141:820:752::2
Wordfence berichtet, dass bisher über 120.000 Angriffsversuche abgewehrt werden konnten.
Hintertüren, Dateimanager und gefälschte Admin-Konten
Bei den beobachteten Angriffen wird meist eine ZIP-Datei hochgeladen – etwa wp-classic-editor.zip oder background-image-cropper.zip –, die PHP-basierte Hintertüren enthält. Diese ermöglichen das Ausführen beliebiger Befehle auf dem Server und die Nachinstallation weiterer Dateien. Teilweise werden komplexe Dateimanager eingebunden oder Administrator-Konten ohne Zustimmung erstellt, um die Kontrolle dauerhaft zu behalten.
Empfehlungen für Administratoren
Betreiber von WordPress-Seiten, die das „Alone“-Theme einsetzen, sollten umgehend handeln:
- Update auf Version 7.8.5 oder höher durchführen
- Admin-Benutzerkonten auf Unregelmäßigkeiten prüfen
- Server-Logs nach dem Aufruf der URL
/wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin
durchsuchen - Installierte Plugins auf unbekannte Dateien überprüfen
Zudem empfiehlt sich der Einsatz einer Web Application Firewall und eines Plugins zur Erkennung von Dateimanipulationen, um zukünftige Angriffe frühzeitig zu erkennen und zu blockieren.