Ein hastig ausgerollter Patch, panische Foren-Einträge und weiße Bildschirme. Das weltweit dominierende Content-Management-System WordPress hat mit dem Release der Version 6.9.2 unbeabsichtigt für erhebliches Chaos gesorgt. Wie Roger Montti für das Search Engine Journal berichtet, sollte das Update eigentlich zehn teils gefährliche Sicherheitslücken schließen. Stattdessen kollabierten direkt nach der Installation unzählige Webseiten.
Ich habe die Chronologie dieses fehlerhaften Rollouts und den anschließenden Notfall-Bugfix analysiert. Die Entwickler mussten in Rekordzeit reagieren, da der Patch die Frontends diverser Internetauftritte blockierte. Hier ist die Aufarbeitung, warum nicht der Kern-Code von WordPress das Problem war, welche zehn Lücken tatsächlich gepatcht wurden und warum die Sicherheit deiner Konten jetzt oberste Priorität hat.
Der Absturz und das „Stringable Object“
Kurz nach der automatischen Verteilung von WordPress 6.9.2 füllten sich Foren und Plattformen wie Reddit mit Notrufen. Administratoren meldeten einen kompletten Ausfall ihrer Websites. Das Backend für die Redakteure war oft noch erreichbar, doch beim Aufruf der Startseite präsentierte sich lediglich eine komplett leere Seite (view source war ebenfalls leer).
Die Fehleranalyse der Core-Entwickler zeigte schnell: Die Ursache lag bei spezifischen, unsauber programmierten Themes (wie beispielsweise „Crio“). Diese Themes nutzten eine nicht offiziell unterstützte Methode – einen sogenannten „Stringable Object“-Mechanismus –, um Template-Dateien zu laden. Der neue Sicherheitspatch akzeptierte aus Sicherheitsgründen an dieser Stelle nur noch reine Text-Strings (Zeichenketten), was zur fatalen Kollision und dem Absturz führte. Obwohl der Fehler bei den Theme-Entwicklern lag, schob WordPress nur wenige Stunden später die Version 6.9.3 als Bugfix hinterher, um die betroffenen Seiten sofort wieder online zu bringen.
Anzeige
- Mit der SANDISK Extreme PRO Portable SSD haben Sie eine optimale Unterstützung zur Datensicherung. Speichern Sie Fotos und Videos auf der externen SSD und haben Sie Ihre Daten immer dabei.
- Übertragen Sie Ihre Daten schnell mit 2000 MB/s auf Ihre externe SSD. Dank der Speicherkapazität von 1 TB sind Ihrer Kreativität keine Grenzen gesetzt.
- Lassen Sie sich nicht von der kreativen Arbeit abbringen. Die externe SSD bietet Ihnen aufgrund der Kompatibilität von Windows und Mac Entscheidungsfreiheit.
Rettungs-Tipp für Website-Betreiber: Das fehlerhafte WordPress-Update zeigt schonungslos, wie schnell ein Klick auf „Aktualisieren“ deine komplette Existenz im Netz offline nehmen kann (White Screen of Death). Verlasse dich niemals nur auf die automatischen Cloud-Backups deines Hosters. Ziehe vor jedem großen Core-Update eine physische Kopie deiner Datenbank und deines wp-content-Ordners auf eine extrem schnelle, lokale Festplatte. Eine robuste SanDisk Extreme PRO SSD (hier die aktuellen Modelle auf Amazon prüfen) sichert deine Gigabytes an Website-Daten in wenigen Sekunden und ist dein absoluter Rettungsanker, wenn das nächste System-Update schiefgeht.
Die eigentliche Bedrohung: Zehn Schwachstellen
Abseits des kurzzeitigen Ausfall-Dramas dürfen die eigentlichen Bedrohungen, die dieses Update notwendig machten, nicht ignoriert werden. Die Sicherheitsfirma Wordfence veröffentlichte Details zu den geschlossenen Lücken.
Die gravierendste Schwachstelle (mit einem CVSS-Score von 6.5) ermöglichte eine XML External Entity (XXE) Injection über die integrierte externe getID3-Bibliothek. Wenn Administratoren Mediendateien (wie WAV oder AVI) hochluden, die mit präparierten XML-Metadaten versehen waren, konnte die Bibliothek manipuliert werden. Dies hätte einem Angreifer mit Autoren-Rechten erlaubt, beliebige, sensible Dateien vom Server auszulesen.
Weitere behobene Fehler umfassen unter anderem Cross-Site Scripting (XSS) in Navigationsmenüs, Server-Side Request Forgery (SSRF) sowie das Umgehen von Autorisierungen in der REST API. Das Beruhigende für Website-Betreiber: Keine dieser Schwachstellen ließ sich anonym von außen auslösen. Ein Angreifer benötigte für alle Exploits zwingend einen authentifizierten Zugang zum System – die Anforderungen reichten dabei vom einfachen Abonnenten-Konto (Subscriber) bis hin zum Administrator.
Im Endeffekt zeigt dieser Vorfall die heikle Balance zwischen der Schließung kritischer Einfallstore und der Aufrechterhaltung der Systemstabilität bei Millionen von Websites. Auch wenn das kurzzeitige Frontend-Chaos viele Webmaster Nerven gekostet hat, ist das sofortige Einspielen der korrigierten Version 6.9.3 absolut essenziell, um Datendiebstahl durch kompromittierte Nutzerkonten strikt zu verhindern.
Andere Artikel:
- Metasploit Update-Report Q1/2026
- SAP Security Patch Day
- 18 Millionen Dollar für Escape
- Auditing the Gatekeepers
- FBI Hackerangriff
- Signal und WhatsApp Hack
- Google Chrome Notfall-Update
- Cisco Security Advisory
- Cisco SD-WAN Zero-Day
- Mexiko Hackerangriff
- ManoMano Datenleck
- StripeAPI NuGet Hack
- Windows Notepad Hack
- Outlook Add-in Hack
