Der massenhafte und wiederkehrende Versand von „Password zurücksetzen“-E-Mails durch WordPress kann mit einer kürzlich bekannt gewordenen Sicherheitslücke (Oktober 2025) im Plugin Post SMTP zusammenhängen.
Zusammenfassung der Sicherheitslücke
- Das Plugin Post SMTP hatte einen schweren Fehler in Versionen vor 3.6.1.
- Fremde Personen konnten ohne Login die gespeicherten E-Mails der Website lesen — darunter auch E-Mails zum Passwort-Zurücksetzen, mit denen sie fremde Konten übernehmen konnten.
- Wer das Plugin nutzt, sollte dringend auf Version 3.6.1 aktualisieren, dann ist die Lücke geschlossen.
Woher kennen die Angreifer überhaupt meinen Anmeldenamen?
Inhalte in WordPress sind mit einem Zugang verbunden. Sobald ein Inhalt öffentlich ist, wird (in der Regel) auch der entsprechende Anmeldename mit veröffentlicht. Oft nur in den Meta-Informationen eines Inhalts.
Welche Maßnahmen kann ich ergreifen?
- Das Passwort (regelmäßig) selbst ändern und sicher abspeichern. Am besten in einem Passwortmanager.
- Keine Inhalte mit einem Adminzugang erstellen
- Sondern immer einen redaktionellen Zugang verwenden
- Noch besser: Inhalte immer einem Zugang ohne Loginmöglichkeit zuordnen
- WordPress so anpassen, dass keine Anmeldeinformationen im Frontend sichtbar sind
- WordPress, Plugins und Themes regelmäßig aktualisieren, um möglichen Sicherheitslücken vorzubeugen.
Waren eure Kunden betroffen?
Wir nutzen das Plugin sehr gerne und regelmäßig. Trotzdem sind uns keine gehackten Kundenseiten bekannt.
Durch regelmäßige Updates und das aktive Monitoring von Sicherheitslücken minimieren wir die Zeit zwischen „Bekanntwerden“ und „Ausnutzen“ von Sicherheitslücken.