WordPress ist eines der weltweit meistgenutzten Content-Management-Systeme und bietet eine Vielzahl von Plugins, um Funktionalitäten zu erweitern. Eines der beliebten Plugins ist Crawlomatic Multipage Scraper Post Generator von CodeRevolution, das automatisch Inhalte wie Wetterberichte, Sportergebnisse, Stellenanzeigen oder Nachrichten aus dem Web sammelt und auf der eigenen WordPress-Seite veröffentlicht. Trotz seiner nützlichen Funktionen weist das Plugin jedoch kürzlich eine kritische Sicherheitslücke auf, die das Risiko einer Remote Code Execution (RCE) erhöht und damit die Integrität und Sicherheit von Websites massiv gefährden kann. Die Schwachstelle, identifiziert als CVE-2025-4389, erhielt einen CVSS-Basisscore von 9,8, was eine der höchsten Kritikalitätsstufen darstellt. Betroffen sind sämtliche Versionen des Crawlomatic Plugins vor Version 2.
6.8.2, weshalb ein schnelles Update für alle Nutzer dringend angeraten wird. Die Entdeckung der Lücke erfolgte durch den Sicherheitsexperten Foxyyy und wurde von der Sicherheitsfirma Wordfence gemeldet. Die Problematik beruht auf einem fehlenden Dateityp-Validierungsmechanismus in der Funktion crawlomatic_generate_feaured_image().
Das Grundproblem dabei ist, dass ein Angreifer ohne Authentifizierung beliebige Dateitypen auf den Server hochladen kann. Das Fehlen dieser Sicherheitsprüfung öffnet die Tür für die Einschleusung schädlicher Dateien, etwa mit schädlichem PHP-Code, was letztlich die Ausführung von eigenen Code-Skripten auf dem Server ermöglicht. Diese Art von Angriff, bekannt als Remote Code Execution, ist besonders gefährlich, da Angreifer eine vollständige Kontrolle über die betroffene Website und oft auch den darunterliegenden Server erlangen können. Neben dem Diebstahl sensibler Daten besteht das Risiko, dass die Website für weitere Angriffe, Spam oder das Hosting von Malware missbraucht wird. Der Fall bei Crawlomatic ist kein Einzelfall, denn ähnliche Schwachstellen wurden auch in anderen CodeRevolution-Plugins entdeckt und gepatcht.
So gab es zeitgleich einen weiteren kritischen Fehler im Echo RSS Feed Post Generator Plugin mit der Kennung CVE-2025-4391, ebenfalls mit einem CVSS-Score von 9,8. Hier zeigte sich ein vergleichbares Problem in der Funktion echo_generate_feaured_image(), das ebenfalls den Upload potenziell gefährlicher Dateien ermöglichte und auch zu RCE führen konnte. Echo RSS Feed Post Generator hat sogar noch mehr Verkäufe als Crawlomatic und ist daher ebenso weit verbreitet. Bereits im März 2025 hatte CodeRevolution zudem eine gravierende Sicherheitslücke im Aiomatic Plugin behoben. Dieses Plugin, das KI-basierte Content-Erstellung anbietet, hatte ebenfalls eine fehlende Validierung beim Upload, allerdings war hier der Angriff nur von authentifizierten Nutzern mit Contributor-Level oder höher möglich.
Die Schwachstelle wurde mit CVE-2024-13882 dokumentiert und erhielt einen CVSS-Score von 8,8. Die kontinuierliche Entdeckung solcher Schwachstellen in beliebten WordPress Plugins unterstreicht eine ernsthafte Herausforderung für den Schutz von WordPress-Websites. Plugins von Drittanbietern erweitern zwar die Funktionalität erheblich, bergen aber auch oft Risiken. Nachlässigkeiten bei der Validierung von Eingabedaten oder beim Dateiupload sind besonders kritische Fehler, deren Ausnutzung großen Schaden anrichten kann. Besonders problematisch ist, dass viele Betreiber von WordPress-Seiten oftmals keine regelmäßigen Updates durchführen oder nicht über Sicherheitspatches informiert sind.
Dies macht ihre Websites anfällig für automatisierte Angriffskampagnen. Die Folge können Datenverluste, Malware-Infektionen oder gar ein kompletter Kontrollverlust über die eigene Website sein. Eine weitere relevante Sicherheitsbedrohung betraf vor Kurzem das WP Ultimate CSV Importer Plugin, das mehr als 20.000 Seiten betraf. Mit der Kennung CVE-2025-2008 war auch hier eine Schwachstelle im Upload-Mechanismus vorhanden, die Angreifer mit Subscriber-Rechten ausnutzen konnten.
Solche breitflächigen Schwachstellen zeigen, dass selbst Nutzer mit geringen Berechtigungen ein erhebliches Sicherheitsrisiko darstellen können, wenn der Upload nicht ausreichend eingeschränkt ist. Ein bekannter Vorfall, der die Folgen von Plugin-Sicherheitslücken verdeutlicht, war die Balada Injector Kampagne Ende 2023 bis Anfang 2024. Dabei wurden mehr als 6.700 WordPress-Seiten kompromittiert, bei denen eine XSS-Schwachstelle im Popup Builder Plugin ausgenutzt wurde. Solche breit angelegten Angriffswellen schädigen nicht nur die betroffenen Websites, sondern auch das Gesamtbild des WordPress-Ökosystems.
Die Sicherstellung aktueller Updates und die Überwachung von Sicherheitshinweisen gehören deshalb zu den wichtigsten Maßnahmen, die Website-Betreiber ergreifen sollten. CodeRevolution hat mit den Updates auf Version 2.6.8.2 (Crawlomatic) und 5.
4.8.2 (Echo RSS Feed Post Generator) schnell reagiert, um die Risiken zu minimieren. Dennoch ist es an den Nutzern, diese Patches auch zeitnah einzuspielen, um Angriffe durch bekannte Exploits auszuschließen. Darüber hinaus empfiehlt es sich, weitere Sicherheitsmechanismen auf WordPress-Seiten einzusetzen.
Dazu zählen etwa Web Application Firewalls (WAF), die verdächtigen Datenverkehr filtern, und regelmäßige Backups, um bei einem Angriff Daten wiederherstellen zu können. Ebenso sollten Zugriffsrechte restriktiv vergeben und Plugins nur aus vertrauenswürdigen Quellen bezogen werden. Für Entwickler von WordPress-Plugins ist die Einführung rigoroser Sicherheitsprüfungen vor der Veröffentlichung essenziell. Dazu gehören insbesondere die Validierung aller Uploads und Eingaben, das sichere Umgang mit Dateitypen und das Minimieren von Angriffsmöglichkeiten durch Authentifizierung und Autorisierung. Open-Source-Communities und Sicherheitsforscher tragen durch das Meldesystem von Schwachstellen entscheidend dazu bei, Sicherheitslücken schnell zu identifizieren und zu beheben.
Das Beispiel von Crawlomatic und verwandten Plugins zeigt eindrücklich, wie schnell und kritisch Sicherheitslücken auftreten können – und wie notwendig eine zügige Reaktion und ein ganzheitlicher Sicherheitsansatz sind. WordPress-Nutzer sollten sich daher stets über die Sicherheit ihrer Plugins informieren, Updates nicht aufschieben und sich auch mit dem Thema Plugin-Sicherheit intensiver beschäftigen. Dies schützt nicht nur die eigene Website, sondern auch die Besucher und das gesamte Online-Ökosystem. Abschließend lässt sich festhalten, dass die Sicherheit im WordPress-Umfeld kein nebensächliches Thema ist. Die hohe Verbreitung und die individuelle Anpassbarkeit machen WordPress zwar attraktiv, schaffen aber auch Angriffsflächen.
Ein verantwortungsvoller Umgang mit Plugins, eine sorgfältige Auswahl und konsequente Updates sind unumgänglich, um Risiken wie die schwerwiegende RCE-Lücke im Crawlomatic Plugin zu vermeiden. Nur durch ständige Wachsamkeit und das Zusammenspiel von Entwicklern, Sicherheitsfachleuten und Website-Betreibern kann WordPress auch in Zukunft eine sichere Plattform bleiben und weiterhin die Grundlage für unzählige erfolgreiche Webprojekte bilden.
