Kurz gesagt: Im WordPress-Plugin Gravity SMTP steckt eine kritische Lücke (CVE-2026-4020). Ein einziger Aufruf einer offenen Schnittstelle reicht, um API-Keys, OAuth-Tokens und die komplette Konfiguration auszulesen – ohne Login. Rund 100.000 Websites nutzen das Plugin. Wordfence hat seit Anfang Mai 2026 über 17 Millionen Angriffe geblockt, allein am 7. Juni mehr als 4 Millionen an einem Tag. Wenn du Gravity SMTP einsetzt: jetzt updaten und alle Zugangsdaten neu vergeben.
Was ist passiert?
Gravity SMTP ist ein verbreitetes E-Mail-Plugin aus dem Umfeld von Gravity Forms. Es sorgt dafür, dass WordPress E-Mails zuverlässig über Dienste wie Amazon SES, Google, Mailjet, Resend oder Zoho verschickt. Genau hier liegt das Problem: Damit das funktioniert, speichert das Plugin die Zugangsdaten zu diesen Diensten.
Die Schwachstelle steckt in einer REST-Schnittstelle, die ohne jede Prüfung antwortet. Konkret liefert der Endpunkt /wp-json/gravitysmtp/v1/tests/mock-data bei einem präparierten Aufruf rund 365 Kilobyte Konfigurationsdaten zurück – den vollständigen System-Report. Darin: aktive API-Keys und OAuth-Tokens für die angebundenen Maildienste. Jeder im Internet konnte diese Daten mit einer einzigen unauthentifizierten Anfrage abgreifen.
Wer ist betroffen?
Betroffen sind alle Versionen von Gravity SMTP bis einschließlich 2.1.4. Du bist also gefährdet, wenn auf deiner Website dieses Plugin läuft und noch nicht auf die fehlerbereinigte Version aktualisiert wurde.
Tückisch: Der Fix steckt seit Version 2.1.5 (veröffentlicht am 17. März 2026) im Plugin – die große Angriffswelle kam aber erst Monate später. Viele Seiten wurden also nicht rechtzeitig aktualisiert, weil die Dringlichkeit anfangs nicht klar kommuniziert war.
So prüfst du, ob du Gravity SMTP nutzt
Gravity SMTP ist nicht dasselbe wie Gravity Forms. Du kannst beides haben oder nur eines davon. Prüfe es so:
- Im WordPress-Backend unter Plugins → Installierte Plugins nach „Gravity SMTP“ suchen.
- Steht dort eine Version 2.1.4 oder älter, besteht akuter Handlungsbedarf.
- Im Zweifel: einen Blick in die Server-Logs werfen. Aufrufe von
/wp-json/gravitysmtp/v1/tests/mock-data, besonders mit dem Parameter?page=gravitysmtp-settings, sind ein klares Warnsignal für einen Angriffsversuch.
Was du jetzt tun solltest
1. Plugin aktualisieren
Update auf Gravity SMTP 2.1.5 oder neuer. Das schließt die Lücke. Erledige das zuerst – alles Weitere bringt nichts, solange die Schnittstelle offen ist.
2. Alle Zugangsdaten neu vergeben
Ein Update allein reicht nicht. Wenn deine Daten schon ausgelesen wurden, helfen sie dem Angreifer weiterhin. Wechsle deshalb alle Schlüssel und Tokens, die im Plugin hinterlegt waren: API-Keys und OAuth-Verbindungen zu deinem Maildienst (Amazon SES, Google, Mailjet, Resend, Zoho und so weiter). Das ist mühsam, aber der entscheidende Schritt.
3. Auf Missbrauch prüfen
Schau in deinem Mail-Dienst nach ungewöhnlichem Versand. Gekaperte Mail-Zugänge werden gern für Spam oder Phishing missbraucht – auf deine Kosten und deinen Ruf.
Warum dieser Fall typisch ist
2025 wurden im WordPress-Ökosystem über 11.000 neue Schwachstellen gemeldet – 42 Prozent mehr als im Jahr davor. Die mediane Zeit von der Veröffentlichung einer Lücke bis zum ersten aktiven Angriff liegt bei wenigen Stunden. Heißt: Ein Plugin-Update am übernächsten Wochenende ist oft zu spät.
Der Gravity-SMTP-Fall zeigt zwei Dinge. Erstens: Jedes Plugin, das Zugangsdaten speichert, ist ein lohnendes Ziel. Zweitens: Updates müssen schnell und kontrolliert eingespielt werden – nicht „irgendwann“. Genau dafür gibt es WordPress-Wartung: zeitnahe Updates, Monitoring und ein Plan für den Ernstfall.
Falls bei dir schon etwas schiefgegangen ist, hilft dir unsere Checkliste für gehackte WordPress-Seiten beim ersten Aufräumen.
FAQ
Bin ich betroffen, wenn ich nur Gravity Forms nutze?
Nein. Die Lücke betrifft das separate Plugin Gravity SMTP. Gravity Forms allein ist davon nicht betroffen. Prüfe trotzdem deine Plugin-Liste – beide werden oft zusammen installiert.
Reicht es, einfach das Plugin zu löschen?
Das schließt die Lücke, ersetzt aber nicht Schritt 2: Wenn deine Zugangsdaten bereits abgeflossen sind, musst du sie trotzdem neu vergeben.
Woran erkenne ich einen erfolgten Angriff?
Ein verlässlicher Indikator sind Aufrufe der genannten Schnittstelle in den Server-Logs. Sicherheit gibt dir aber nur das konsequente Neuvergeben aller Schlüssel – unabhängig davon, ob du einen Treffer in den Logs findest.
Wie verhindere ich solche Vorfälle künftig?
Mit einem Wartungsprozess, der Updates zeitnah einspielt, verdächtigen Traffic erkennt und regelmäßig Backups zieht. Das senkt das Risiko deutlich und verkürzt die Reaktionszeit, wenn doch etwas passiert.
Du bist unsicher, ob deine Seite sicher ist?
Ich prüfe deine WordPress-Installation auf bekannte Lücken, veraltete Plugins und offene Schnittstellen – und sage dir klar, was zu tun ist. Schreib mir kurz, dann schauen wir gemeinsam drauf.
Hinweis: Dieser Beitrag fasst öffentlich gemeldete Sicherheitsinformationen zusammen (CVE-2026-4020). Er ersetzt keine individuelle Sicherheitsprüfung deiner konkreten Installation.
