Auf den Punkt: Rund 70 Prozent der weltweit überwachten WordPress-Seiten laufen mit nicht mehr unterstützter Software und werden zunehmend Ziel automatisierter Angriffe.
Eine weltweite Untersuchung von Censys zeigt, dass die überwiegende Mehrheit der WordPress-Installationen nicht auf dem aktuellen Softwarestand ist. Cyberkriminelle exploitieren diese Sicherheitslücken bereits aktiv mit automatisierten Angriffen.
Von über 59 Millionen erfassten WordPress-Seiten nutzen lediglich 14 Prozent die aktuelle Version 7.0. Zusammen mit Version 6.9, deren Support im März 2026 eingestellt wird, laufen nur etwa 31 Prozent auf einem aktiv gepflegten Stand. Das bedeutet, dass 69 Prozent der WordPress-Installationen außerhalb des regulären Wartungsfensters betrieben werden.
Ein kritisches Risiko liegt in der verwendeten Programmiersprache PHP. Über 70 Prozent der analyzierten Systeme laufen auf veralteten PHP-Versionen. Mehr als 20 Prozent setzen noch auf PHP 7.4, dessen Support im November 2022 endete. Das nicht mehr unterstützte PHP 5.6 (Support endete 2018) ist die zweithäufigste Version im Einsatz. Die gegenwärtig unterstützte Version PHP 8.4 wird von nur vier Prozent der untersuchten Seiten verwendet. Auch bei Plugins wie Yoast SEO aktualisieren nur 22 Prozent der Administratoren auf die neueste Version.
Im Juni 2026 dokumentierte Censys eine Defacement-Kampagne, bei der mindestens 900 WordPress-Seiten mit der Nachricht „Hacked By MR.GREEN“ überschrieben wurden. GreyNoise-Sensoren identifizierten 70 eindeutige IP-Adressen, die gezielt nach veralteten xmlrpc.php-Schnittstellen scannen – ein häufiger Einstiegspunkt für Brute-Force-Angriffe. Hinzu kommen weitere Konfigurationslücken: offene SSH-Ports ohne IP-Beschränkungen und aktivierte Passwort-Authentifizierung auf den betroffenen Servern.
Die Hauptursache für die verzögerten Updates liegt in Kompatibilitätsproblemen. PHP-Upgrades führen häufig zu Fehlfunktionen bei älteren Plugins, weshalb Administratoren Aktualisierungen aufschieben. Censys empfiehlt, WordPress-Updates manuell und schrittweise nach Tests einzuspielen statt automatisierte Rollouts zu nutzen, die die Funktionalität gefährden können. PHP-Versionen sollten in Zyklen von ein bis drei Monaten überprüft werden. PHP 8.6 wird für November 2026 erwartet.
Quelle: www.it-daily.net · Erschienen 4. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.