Wenn du in den letzten Tagen eine Mail von all-inkl bekommen hast, in der von einer Sicherheitslücke und problematischen Dateien in deinem Account die Rede ist, bist du nicht allein. Diese Mail landet gerade bei sehr vielen Kunden. Der Betreff lautet meist so etwas wie „Sicherheitslücke in Account wXXXXXXX“, manchmal steht dort auch „Virenfund“. Im Text steht, bei einem routinemäßigen Scan seien problematische Dateien gefunden worden, häufige Ursache seien nicht aktualisierte Systeme wie WordPress, und du sollst dich umgehend in die technische Verwaltung einloggen und im Menüpunkt „Wartungscenter“ weitermachen.
Ich erkläre dir hier in Ruhe, was dahintersteckt, ob du reagieren musst und wie. Vorweg das Wichtigste: Keine Panik, aber bitte auch nicht ignorieren.
Das Wichtigste in Kürze
Die Mail von all-inkl ist in aller Regel echt und kein Phishing. Logg dich trotzdem nie über den Link in der Mail ein, sondern direkt über all-inkl.com. Auslöser der aktuellen Welle ist eine kritische Sicherheitslücke im Backup-Plugin UpdraftPlus mit der Kennung CVE-2026-10795, die seit Mitte Juni 2026 aktiv ausgenutzt wird. Was du tun solltest: UpdraftPlus sofort auf Version 1.26.5 (kostenlos) oder 2.26.5 (Premium) updaten, deine Seite auf unbekannte Administrator-Konten und fremde Plugins prüfen und im KAS nachsehen, welche Datei genau gemeldet wurde. In manchen Fällen ist es auch nur ein Fehlalarm des Scanners.
Die Eckdaten auf einen Blick:
- Betroffene Plugins: UpdraftPlus und UpdraftCentral
- Schwachstelle: CVE-2026-10795, ein Authentication Bypass (kritisch)
- Sichere Versionen: UpdraftPlus 1.26.5 (kostenlos) oder 2.26.5 (Premium), UpdraftCentral 0.8.32
- Patch veröffentlicht am: 5. Juni 2026
- Status: wird aktiv ausgenutzt, inklusive einer Supply-Chain-Angriffswelle ab dem 12. Juni 2026
- Verbreitung: UpdraftPlus läuft auf über 3 Millionen Websites
Ist die Mail von all-inkl echt oder ist das Phishing?
Das ist die berechtigte erste Frage, und die Antwort lautet: In aller Regel ist diese Mail echt. all-inkl betreibt einen automatischen Scanner, der die Accounts auf bekannten Schadcode und auf typische Spuren von Einbrüchen prüft. Findet er etwas, schickt das System automatisch diese Benachrichtigung an die hinterlegte Kontaktadresse. Teilweise werden die verdächtigen Dateien dabei umbenannt und gesperrt, damit sie keinen Schaden mehr anrichten.
Trotzdem ein wichtiger Reflex, den du dir angewöhnen solltest: Klick niemals direkt auf einen Login-Link in einer solchen Mail. Nicht weil diese eine Mail gefährlich wäre, sondern weil genau dieses Format von Phishing-Angreifern gerne nachgebaut wird. Eine Mail, die Dringlichkeit erzeugt und dich zum Login auffordert, ist das klassische Muster. Geh stattdessen direkt zu kas.all-inkl.com, tippe die Adresse selbst ein oder nimm dein gespeichertes Lesezeichen, und log dich dort ein. Wenn im KAS unter „Tools“ beziehungsweise im entsprechenden Bereich tatsächlich ein Hinweis auf gefundene Dateien steht, war die Mail echt. Wenn dort nichts ist, war es entweder eine Phishing-Mail oder die Sache hat sich schon erledigt.
Was ist da eigentlich passiert?
Der Auslöser für diese Welle ist eine Sicherheitslücke im Plugin UpdraftPlus, dem mit Abstand verbreitetsten Backup-Plugin für WordPress. Es läuft auf über drei Millionen Websites. Die Lücke trägt die Kennung CVE-2026-10795 und ist eine sogenannte Authentication-Bypass-Schwachstelle. Im Klartext: Ein Angreifer kann die Identitätsprüfung des Plugins umgehen und sich dem System gegenüber als angemeldeter Administrator ausgeben, ohne jemals ein Passwort eingegeben zu haben. Hat er das geschafft, kann er ein eigenes Plugin hochladen und aktivieren und damit beliebigen Code auf deiner Seite ausführen. Das ist der Worst Case, weil er einer kompletten Übernahme der Seite gleichkommt.
UpdraftPlus hat reagiert und am 5. Juni 2026 ein Update veröffentlicht. Sicher bist du ab Version 1.26.5 (kostenlose Version) beziehungsweise 2.26.5 (Premium). Wer UpdraftCentral nutzt, braucht mindestens Version 0.8.32. Alle Versionen davor sind verwundbar.
Bin ich überhaupt betroffen?
Hier kommt die Entwarnung, die zur Wahrheit gehört: Nicht jede Seite mit UpdraftPlus war angreifbar. Verwundbar sind nur Installationen, bei denen ein aktiver Migrator-Schlüssel oder ein UpdraftCentral-Schlüssel hinterlegt ist. UpdraftPlus selbst schätzt, dass das weniger als zehn Prozent der Installationen betrifft. Wenn du UpdraftPlus also nur für ganz normale Backups verwendest und nie eine Migration oder Fernverwaltung eingerichtet hast, war dein Risiko von Anfang an gering.
Das ändert aber nichts daran, dass du updaten solltest. Sobald ein Sicherheitsupdate draußen ist, können Angreifer aus den Code-Änderungen rückschließen, wo genau die Lücke saß. Das macht ungepatchte Seiten ab dem Moment der Veröffentlichung eher gefährdeter, nicht sicherer.
Warum die Lücke trotz Patch noch gefährlich ist
Ich höre öfter den Reflex „ach, die Lücke ist doch schon zwei Wochen alt und gepatcht“. Genau hier liegt der Denkfehler. Die Lücke wird gerade aktiv ausgenutzt. Der Sicherheitsanbieter Wordfence blockiert nach eigenen Angaben mehrere Tausend Angriffsversuche pro Tag, die genau auf diese Schwachstelle zielen. Mitte Juni 2026 waren es in einem 24-Stunden-Zeitraum erst rund 5.000, kurz darauf schon über 8.000. Die Tendenz zeigt also nach oben, nicht nach unten.
Und es kommt noch dicker. Seit dem 12. Juni läuft eine Angriffswelle, die diese UpdraftPlus-Lücke als Einfallstor benutzt hat, um in die Infrastruktur von Awesome Motive einzudringen, einem der größten Anbieter von WordPress-Tools. Den Angreifern gelang es, einen API-Schlüssel für ein Content Delivery Network zu stehlen. Mit diesem Schlüssel haben sie dann bösartigen JavaScript-Code in Dateien eingeschleust, die ganz normal über die CDNs von OptinMonster, TrustPulse und PushEngage ausgeliefert wurden. Zusätzlich wurde dem Plugin Uncanny Automator in einer bestimmten Version eine Hintertür untergeschoben. Betroffen sind potenziell weit über eine Million Websites.
Das ist der Grund, warum die all-inkl-Mail gerade jetzt rausgeht und warum sie eben nicht zu spät kommt. Der Scanner findet entweder echten eingeschleusten Schadcode auf einer kompromittierten Seite oder Reste eines Angriffsversuchs. Beides solltest du dir ansehen.
Ich höre öfter den Reflex „ach, die Lücke ist doch schon zwei Wochen alt und gepatcht“. Genau hier liegt der Denkfehler. Die Lücke wird gerade aktiv ausgenutzt. Wordfence, einer der großen Sicherheitsanbieter im WordPress-Umfeld, hat in einem einzigen 24-Stunden-Zeitraum fast 5.000 Angriffsversuche auf diese Lücke blockiert.
Und es kommt noch dicker. Seit dem 12. Juni läuft eine Angriffswelle, die diese UpdraftPlus-Lücke als Einfallstor benutzt hat, um in die Infrastruktur von Awesome Motive einzudringen, einem der größten Anbieter von WordPress-Tools. Den Angreifern gelang es, einen API-Schlüssel für ein Content Delivery Network zu stehlen. Mit diesem Schlüssel haben sie dann bösartigen JavaScript-Code in Dateien eingeschleust, die ganz normal über die CDNs von OptinMonster, TrustPulse und PushEngage ausgeliefert wurden. Zusätzlich wurde dem Plugin Uncanny Automator in einer bestimmten Version eine Hintertür untergeschoben. Betroffen sind potenziell weit über eine Million Websites.
Das ist der Grund, warum die all-inkl-Mail gerade jetzt rausgeht und warum sie eben nicht zu spät kommt. Der Scanner findet entweder echten eingeschleusten Schadcode auf einer kompromittierten Seite oder Reste eines Angriffsversuchs. Beides solltest du dir ansehen.
Was du jetzt konkret tun solltest
Geh es der Reihe nach durch, dann hast du Ruhe.
Logge dich zuerst direkt in dein WordPress-Backend ein und schau unter Plugins nach, welche Version von UpdraftPlus läuft. Ist sie älter als 1.26.5, mach das Update sofort. Dasselbe gilt für UpdraftCentral, falls du es nutzt. Wenn du wegen einer abgelaufenen Lizenz nicht updaten kannst, hat UpdraftPlus einen kostenlosen Hotfix als kleines Zusatz-Plugin bereitgestellt, das die Lücke unabhängig von deiner Version stopft. Nach dem regulären Update kannst du den Hotfix wieder entfernen.
Möglich ist auch, dass dir die Arbeit schon abgenommen wurde. Manche Hoster und auch WordPress selbst haben bei betroffenen Seiten automatische Updates ausgerollt. Schau also erst nach, bevor du dir Sorgen machst, dass du zu langsam warst.
Danach lohnt ein prüfender Blick auf die Seite selbst. Gibt es unter Benutzer ein Administratorkonto, das du nicht angelegt hast? Liegt unter Plugins etwas, das du nicht kennst? Beides wären Warnzeichen für einen erfolgreichen Einbruch. Du kannst die Seite zusätzlich mit einem kostenlosen externen Scanner wie SiteCheck von Sucuri prüfen lassen. Ein Hinweis dazu: So ein Scan zeigt dir, ob aktuell etwas Verdächtiges sichtbar ist, aber er sagt dir nicht, wann oder wie es dorthin kam.
Und ganz praktisch zur all-inkl-Mail: Geh ins KAS, lass dir die gemeldeten Dateien anzeigen und schau, was genau gefunden wurde. So bekommst du ein Gefühl dafür, ob es ein echter Fund oder ein Fehlalarm ist.
Der Fall, in dem doch nichts war
Damit zum entwarnenden Teil, der genauso wichtig ist. Der all-inkl-Scanner hat eine bekannte Schwäche: Er meldet manchmal Dateien als gefährlich, die völlig harmlos sind. Zuletzt traf das ausgerechnet eine Datei namens ExecWithFallback.php aus dem Plugin WP-Optimize, also einem ganz normalen, weit verbreiteten Optimierungs-Plugin aus demselben Hause wie UpdraftPlus. Da war kein Schadcode drin, der Scanner lag schlicht daneben.
Das Ärgerliche daran ist, dass der Scanner die beanstandete Datei zwar nennt, umbenennt und sperrt, dich aber nicht den vermeintlichen Schadcode einsehen lässt. Du kannst also nicht ohne Weiteres selbst beurteilen, was da angeblich gefunden wurde. Wenn die gesperrte Datei zu einem bekannten, sauberen Plugin gehört und sonst nichts auf einen Einbruch hindeutet, ist die Wahrscheinlichkeit hoch, dass es ein Fehlalarm war. Heißt aber im Umkehrschluss nicht, dass du den Hinweis einfach wegklicken solltest. Erst prüfen, dann beruhigt sein.
Wenn du das nicht selbst machen willst
Falls du jetzt merkst, dass dir das alles zu viel ist, oder du dir schlicht unsicher bist, ob deine Seite sauber ist: Genau diese Art von Vorfall ist der Grund, warum es Wartungsverträge gibt. Bei meinen Wartungskunden läuft das im Hintergrund. Updates werden zeitnah eingespielt, kritische Sicherheitslücken wie diese im Blick behalten, und wenn so eine all-inkl-Mail aufschlägt, kümmere ich mich darum, statt dass du dich durch KAS-Menüs und Plugin-Versionen arbeiten musst.
Häufig gestellte Fagen
Ja, in aller Regel ist diese Mail echt und kein Phishing. Sie wird automatisch von all-inkls Scanner verschickt, wenn dieser verdächtige Dateien in einem Account findet. Trotzdem solltest du dich aus Prinzip nie über den Link in der Mail einloggen, sondern die Adresse kas.all-inkl.com selbst eingeben.
Es bedeutet, dass der automatische Scanner von all-inkl Dateien entdeckt hat, die er als Schadcode oder als Spuren eines Einbruchs einstuft. Diese Dateien werden oft umbenannt und gesperrt. Es kann sich um echten eingeschleusten Code handeln oder um einen Fehlalarm.
Sicher bist du ab UpdraftPlus 1.26.5 in der kostenlosen Version und ab 2.26.5 in der Premium-Version. Für UpdraftCentral brauchst du mindestens Version 0.8.32. Alle älteren Versionen sind verwundbar.
Dein Risiko ist dann gering. Angreifbar waren nur Installationen mit einem aktiven Migrator-Schlüssel oder UpdraftCentral-Schlüssel, laut UpdraftPlus weniger als zehn Prozent. Updaten solltest du trotzdem, weil die Lücke aktiv ausgenutzt wird.
Typische Warnzeichen sind ein Administrator-Konto, das du nicht angelegt hast, ein dir unbekanntes Plugin oder unerwartete Weiterleitungen. Ein kostenloser externer Scan mit SiteCheck von Sucuri gibt zusätzliche Sicherheit, sagt dir aber nicht, wann und wie etwas auf die Seite kam.
Wenn du eine verwundbare UpdraftPlus-Version laufen hast, ja. Spiel das Update zeitnah ein. Hat dein Hoster oder WordPress es bereits automatisch erledigt, reicht eine kurze Kontrolle.
Fazit
Die Mail von all-inkl ist echt und du solltest sie ernst nehmen, aber sie ist kein Grund zur Panik. Dahinter steckt eine echte, gerade aktiv ausgenutzte Lücke in UpdraftPlus. Update das Plugin auf 1.26.5 oder neuer, prüfe deine Seite auf unbekannte Admins und Plugins, und schau im KAS nach, was genau gemeldet wurde. In vielen Fällen ist die Sache mit einem Update erledigt. In manchen war es nur ein Fehlalarm. Und in den wenigen ernsten Fällen ist es gut, dass du jetzt Bescheid weißt.
Wenn du Fragen hast oder dir bei deiner Seite unsicher bist, meld dich gern.
