Skip links
Logo von Waterproof Web Wizard GmbH
Kontakt
1x1 Logo - Waterproof Web Wizard GmbH
WordPress

Kirki-Lücke in WordPress: 150.000 Seiten akut gefährdet

Dennis Hüttner
Juni 4, 2026
Verwittertes Vorhängeschloss mit Bronze-Patina an einem rostigen Maschendrahtzaun – Sinnbild für eine ausgenutzte WordPress-Sicherheitslücke

Das Wichtigste in Kürze

Eine kritische Lücke (CVE-2026-8206, CVSS 9.8) im WordPress-Plugin Kirki erlaubt unautorisierte Übernahmen von Admin-Konten. Betroffen sind Versionen 6.0.0 bis 6.0.6. Wordfence registrierte am 02.06.2026 innerhalb von 24 Stunden über 222 Angriffsversuche. Update auf Version 6.0.7 ist Pflicht. Wer nicht updaten kann, deaktiviert das Plugin sofort.

Am 02. Juni 2026 hat Wordfence eine Sicherheitslücke im Kirki-Plugin veröffentlicht. Das Plugin läuft auf über 500.000 WordPress-Seiten. Rund 150.000 davon nutzen eine verwundbare Version. Die Lücke heißt CVE-2026-8206 und hat den maximalen CVSS-Wert für solche Angriffe: 9.8 von 10. Angreifer übernehmen damit ohne Anmeldung beliebige Konten, auch Administrator-Accounts. Wir ordnen ein, wer betroffen ist, wie der Angriff funktioniert und was Webseitenbetreiber jetzt konkret tun.

Was Kirki ist und wer es einsetzt

Kirki ist ein freier visueller Builder und Customizer-Framework für WordPress. Themeum hat das Plugin 2023 vom ursprünglichen Entwickler David Vongries übernommen. Heute steht Kirki bei rund 500.000 aktiven Installationen. Das Plugin liefert Steuerelemente für den WordPress-Customizer und erlaubt das Bauen von Landingpages und kompletten Webseiten ohne Code.

Viele Themes bauen direkt auf Kirki auf. Wer ein populäres Theme aus dem WordPress-Verzeichnis nutzt, hat Kirki häufig mitinstalliert, ohne es zu wissen. Genau das macht die aktuelle Lücke gefährlich. Betroffene Betreiber kennen das Plugin oft gar nicht.

Wie der Angriff funktioniert

Die Lücke sitzt in der Passwort-Reset-Funktion. Der zuständige Code in handle_forgot_password() akzeptiert eine beliebige E-Mail-Adresse, wenn der Angreifer einen gültigen Benutzernamen kennt. Statt den Reset-Link an die hinterlegte E-Mail des Kontos zu senden, geht er an die angegebene Adresse des Angreifers.

Der Angriff läuft in vier Schritten:

  1. Angreifer ermittelt einen WordPress-Benutzernamen, oft per Autorenarchiv oder REST-API
  2. Angreifer sendet eine Passwort-Reset-Anfrage mit eigenem E-Mail-Empfänger
  3. Das Plugin sendet den Reset-Link an die Angreifer-Adresse
  4. Angreifer klickt den Link, vergibt ein neues Passwort und ist drin

Keine Anmeldung nötig, keine Nutzerinteraktion, keine Sondertools. Eine einzelne HTTP-Anfrage reicht. Wordfence hat innerhalb der ersten 24 Stunden nach Veröffentlichung 222 Angriffsversuche geblockt. Die Welle läuft.

Zeitleiste der Veröffentlichung

  • 04. Mai 2026: Sicherheitsforscher Choigyeongmin meldet die Lücke an das Wordfence Bug-Bounty-Programm
  • 08. Mai 2026: Wordfence validiert die Schwere
  • 09. Mai 2026: Wordfence-Premium-Nutzer erhalten Firewall-Schutz vorab
  • 15. Mai 2026: Themeum wird informiert
  • 18. Mai 2026: Themeum veröffentlicht Version 6.0.7 mit Fix
  • 02. Juni 2026: Öffentliche Veröffentlichung, sofortige Massenangriffe

Zwischen Patch und öffentlicher Bekanntmachung lagen 15 Tage. Wer in dieser Zeit nicht updatet hat, läuft jetzt im offenen Risiko.

Wer ist betroffen

Drei Konstellationen sind heute akut:

Direkte Plugin-Nutzung. Kirki ist als Plugin im Backend sichtbar. Status prüfen unter „Plugins, Installiert“. Falls Version 6.0.0 bis 6.0.6 angezeigt wird: sofortiger Handlungsbedarf.

Indirekte Nutzung über Themes. Manche Premium-Themes installieren Kirki im Hintergrund mit. Das Plugin taucht dann zwar in der Liste auf, aber Updates kommen nicht automatisch. Hier hilft ein Blick in den Theme-Customizer und in das Verzeichnis wp-content/plugins/kirki/.

Verlassene Seiten ohne Wartung. Webseiten ohne aktive Wartung sind das Hauptziel automatisierter Massenangriffe. Wer seit Monaten kein Update gefahren hat, prüft jetzt zwingend.

Nicht betroffen sind Versionen vor 6.0.0 und ab 6.0.7. Die Lücke wurde mit dem 6.0-Major-Release neu eingeführt und ist nicht aus älteren Builds übernommen.

Was Betreiber jetzt konkret tun

Vier Schritte, in dieser Reihenfolge.

Schritt 1: Plugin-Version prüfen. Im WordPress-Backend unter „Plugins, Installiert“ nach „Kirki“ suchen. Versionsnummer ablesen. Liegt sie zwischen 6.0.0 und 6.0.6, ist die Seite verwundbar.

Schritt 2: Sofort updaten oder deaktivieren. Update über das Backend oder per WP-CLI mit wp plugin update kirki. Wer das Plugin nicht aktiv braucht, deaktiviert und entfernt es. Eine deaktivierte Erweiterung reduziert die Angriffsfläche dauerhaft.

Schritt 3: Konten und Aktivität prüfen. Liste der Benutzer unter „Benutzer, Alle Benutzer“ durchgehen. Achten auf:

  • Neue Administrator-Konten, die niemand angelegt hat
  • Kürzlich geänderte E-Mail-Adressen bei bestehenden Konten
  • Passwort-Reset-Mails an unbekannte Empfänger

Wer Treffer findet, geht von einer Kompromittierung aus. Dann: alle Passwörter erneuern, alle Sitzungen abmelden, Backup vor dem 02. Juni einspielen oder Spezialisten hinzuziehen.

Schritt 4: Benutzer-Aufzählung erschweren. WordPress gibt Benutzernamen über Autorenarchive und die REST-API standardmäßig preis. Wir empfehlen seit Jahren, das einzuschränken. Eine saubere Sicherheits-Konfiguration verhindert nicht jede Lücke, reduziert aber die Trefferquote automatisierter Bots erheblich.

Was diese Lücke für KMU-Webseiten konkret bedeutet

Drei Beobachtungen aus aktuellen Kundenprojekten:

Erstens: Nicht jede WordPress-Seite hat einen aktiven Wartungsvertrag. Viele KMU-Webseiten laufen seit Jahren ohne strukturierte Update-Routine. Solche Seiten sind das primäre Ziel automatisierter Massenangriffe. Eine Lizenz für Patchstack oder Wordfence Premium kostet im Jahr weniger als eine einzelne Notfall-Bereinigung nach einer Kompromittierung.

Zweitens: Auto-Update reicht nicht. WordPress aktualisiert Plugins automatisch nur, wenn der Betreiber die Funktion explizit aktiviert hat. Standardmäßig ist Auto-Update deaktiviert. Wer sich auf den Default verlässt, hat nach Veröffentlichung einer Lücke Tage bis Wochen Verzögerung.

Drittens: Plugin-Mengen reduzieren. Eine durchschnittliche KMU-Webseite mit Builder-Theme hat zwischen 20 und 40 aktive Plugins. Jedes davon ist ein potenzieller Einstiegspunkt. Wir empfehlen in Audits konsequent, Plugins zu entfernen, die nicht aktiv gebraucht werden, und Builder-Funktionen nach Möglichkeit ins Theme zu verlagern.

Was uns das Plugin-Ökosystem zeigt

Kirki ist nicht das erste populäre Plugin mit kritischer Lücke. Allein 2026 betraf das bereits Avada Builder, Funnel Builder, ACF Extended, Burst Statistics, WPvivid und mehr. Das Muster: ein neues Major-Release, eine Funktion ohne saubere Eingabevalidierung, hunderttausende Seiten im offenen Schussfeld.

Was wir bei Kunden konsequent umsetzen:

  1. Plugin-Inventar regelmäßig prüfen und reduzieren
  2. Sicherheitsmonitoring mit Patchstack oder Wordfence aktiv betreiben
  3. Backups in einer geschützten Umgebung außerhalb des Servers
  4. Updates nicht zentral verschieben, sondern zeitnah ausrollen
  5. Bei populären Plugins die Versionshistorie beobachten

Ein Plugin, das viele Funktionen schnell liefert, ersetzt keine bewusste Wartungsstrategie. Wer auf einen Builder wie Kirki setzt, übernimmt damit Verantwortung für dessen Update-Pflege.

Fazit

CVE-2026-8206 ist eine ernst zu nehmende Lücke. Hohe Reichweite (500.000 Installationen), maximale CVSS-Bewertung, triviale Ausnutzung und aktive Angriffswelle. Wer Kirki nutzt, updatet jetzt auf 6.0.7 oder deaktiviert das Plugin. Wer nicht weiß, ob er Kirki nutzt, prüft das Plugin-Verzeichnis manuell. Wer seit der Veröffentlichung am 02. Juni keine Reaktion gezeigt hat, geht für seine Seite vom Worst Case aus.

Häufige Fragen

Wie weiß ich, ob meine Webseite Kirki nutzt?

Im WordPress-Backend unter „Plugins, Installiert“ nach „Kirki“ suchen. Alternativ: per FTP oder SSH im Ordner wp-content/plugins/ nach einem Unterordner „kirki“ prüfen. Manche Premium-Themes installieren Kirki im Hintergrund mit, ohne dass der Betreiber es weiß.

Reicht es, Kirki nur zu deaktivieren?

Ja. Eine deaktivierte Erweiterung lädt keinen Code. Die Lücke ist damit nicht mehr ausnutzbar. Wir empfehlen jedoch, deaktivierte Plugins komplett zu entfernen. Code im Plugin-Verzeichnis kann bei späteren WordPress-Updates wieder relevant werden.

Was tun, wenn die Seite bereits kompromittiert wurde?

Sofort alle Administrator-Passwörter ändern und alle Sitzungen abmelden. Backup vor dem 02. Juni 2026 einspielen. Liste der Benutzer auf neu angelegte Konten prüfen. Wer im Plugin-Verzeichnis oder im Theme verdächtige Dateien findet, zieht eine Sicherheitsexpertin oder einen Sicherheitsexperten hinzu. Selbst aufräumen ist gefährlich, weil Angreifer oft mehrere Hintertüren installieren.

Hilft eine Web Application Firewall?

Eine WAF mit aktuellen Regeln blockt viele automatisierte Angriffe. Patchstack und Wordfence Premium liefern entsprechende Schutzregeln innerhalb weniger Stunden nach Bekanntwerden einer Lücke. Eine WAF ersetzt aber nie das Update. Sie verschafft Zeit, mehr nicht.

CTA

Sie wissen nicht, welche Plugins auf Ihrer WordPress-Seite laufen und ob aktuelle Lücken Sie treffen? Wir prüfen das im Detail und liefern eine klare Handlungsempfehlung. Potenzial prüfen lassen

Dennis Hüttner
Waterproof Web Wizard GmbH

Quellen

administrator

Dennis Hüttner ist Gründer der Waterproof Web Wizard GmbH und bringt mehr als 14 Jahre Erfahrung in SEO, Webentwicklung und Online-Marketing mit. Seine Kunden aus Agrartechnik, Maschinenbau und Industrie schätzen ihn als unkomplizierten Sparringspartner, der Berliner Direktheit mit schwäbischer Gründlichkeit verbindet. Sein Ansatz: Partnerschaft auf Augenhöhe statt Befehlsempfänger. Dennis setzt auf moderne Technologien, legt aber Wert darauf, dass am Ende Menschen mit Menschen arbeiten. Für ihn zählen ehrliche Kommunikation und gegenseitige Wertschätzung. Vernetze dich mit ihm auf LinkedIn oder entdecke mehr in seinem Blog.

GET IN TOUCH

Hast du Fragen oder benötigst du Unterstützung? Kontaktiere uns noch heute, um zu erfahren, wie wir dein Unternehmen beim Wachstum unterstützen können.

E-Mail schreiben Jetzt beraten lassen

You may also like