Shells regnen ein. PHP-Payloads knallen ins Webroot wie Stealth-Bomber in der Nacht – so sieht’s auf Tausenden WordPress-Seiten aus.
Rausgezoomt. Ninja Forms, der Drag-and-Drop-Star für Formulare auf über 600.000 Installationen, ist mit der Hose unten erwischt worden. Das File-Uploads-Add-on? Kritische 9,8/10 CVE-2026-0740 unter Beschuss. Wordfence zählt über 3.600 Angriffe in 24 Stunden. Peng.
Der Knackpunkt: Keine Authentifizierung nötig. Angreifer basteln einen trickreichen Dateinamen, umgehen Checks – zack, beliebige Dateien hochgeladen. Path Traversal? Da ist sie. Remote Code Execution? Doppelte Ladung. Ihre Site gehört ihnen.
„Die Funktion prüft den Ziel-Dateinamen vor dem Verschieben nicht auf Typ oder Erweiterung“, erklärt Wordfence. „Deshalb lassen sich nicht nur sichere Dateien hochladen, sondern auch .php-Dateien.“
Und es wird schlimmer – ohne Sanitization basteln Hacker Pfade um, platzieren Malware genau da, wo’s wehtut: im Server-Root. Web-Shells entfalten sich. Sites gekapert. Daten abgezapft. Der übliche Weltuntergang.
Wie haben Hacker Ninja Forms’ Schwachstelle so schnell gefunden?
Security-Researcher Sélim Lanouar (aka whattheslime) hat sie als Erster gewittert, am 8. Januar in Wordfences Bounty-Programm gemeldet. Kluger Zug. Die haben validiert, Vendor gleich informiert und Firewall-Regeln rausgehauen, um Kunden zu schützen.
Vendor flickte teilweise am 10. Februar, voll in 3.3.27 bis 19. März. Aber Exploits? Toben schon. Tausende täglich, sagt Wordfence. Warum der Andrang? Ninja Forms File Uploads bedient 90.000 Kunden – saftige Ziele.
Stellen Sie’s sich vor: WordPress ist das chaotische Gartenfest im Internet. Plugins wie Ninja Forms liefern die einfachen Snacks – No-Code-Formulare, File-Uploads, Drag-and-Drop-Zauberei. Aber den Grill-Schuppen unverschlossen lassen? Diebe räubern bei Mitternacht.
Warum trifft CVE-2026-0740 WordPress-Nutzer am härtesten?
Betroffen: Versionen bis 3.3.26. Viele Sites mit verstaubten Updates. Keine Prüfung von Dateitypen im Zielnamen – Angreifer nennen ihr Gift anything.php, traversieren Verzeichnisse, führen remote aus.
Folgen? Übel. Voller Server-Kompromiss. Web-Shells als Hintertür. Ransomware-Vorbereitung. Oder Schlimmeres – Sprung auf die gesamte Hosting-Flotte.
Mein heißer Tipp – und der Punkt, den noch keiner brüllt: Das erinnert an den CryptoPHP-Skandal 2014, wo ein backdoored WordPress-Theme 40.000 Sites über Nacht infizierte. Damals Supply-Chain-Schlamassel. Heute? Plugin poliert, aber Upload-Hygiene versemmelt. Vorhersage: Bleiben 10 % der 90.000 ohne Patch, gibt’s bis Sommer einen WordPress-Wurm, der über Shared Hosts auto-verbreitet. Weckruf für No-Code-Hype.
Aber Moment – Ninja Forms ist kein schmieriger Außenseiter. Premium, vertrauenswürdig. Der Drag-and-Drop-Charme? Verdeckt die Wahrheit: Jede Erweiterung ist ein potenziell offenes Tor. Vendor jagt Features hinterher, Security hinkt nach. Nutzer zahlen den Preis.
Wordfences Firewall hat den Blitz gestoppt, aber nicht jeder hat sie. Free-Scanner? Jetzt patchen. Oder auf Sites Schicksal wetten.
Ist Ihre Site anfällig für Ninja Forms-Angriffe?
Schnell-Check: Ninja Forms File Uploads ≤3.3.26? Sie sind dran. Auf 3.3.27 updaten, pronto. Uploads prüfen. Mit Wordfence oder Ähnlichem scannen.
Exploits automatisieren sich leicht – Pentests zeigen: Der Pfad steht weit offen. BAS-Tools könnten flaggen, aber ohne Runtime-Blocks? Sie sind geliefert.
Über Patches hinaus umdenken: Uploads in isolierte Verzeichnisse auslagern. Erweiterungen server-seitig whitelisten. Weil Vertrauen in Plugins? Schwindet rapide.
Und schauen Sie: WordPress treibt 43 % des Webs. Ein faules Plugin, Millionen in Gefahr. Das ist der Schwindel der Plattform-Wende: Von statischen Seiten zu dynamischen Imperien – auf Sand gebaut.
Die Energie hier ist keine Show; sie ist Dringlichkeit. Diese Lücke ist ein Portal – schließen Sie es, oder sehen Sie
