Sicherheitslücke in All in One SEO Plugin betrifft über 3 Millionen WordPress-Websites

Das All in One SEO WordPress Plugin im Detail

All in One SEO gehört zu den meistgenutzten SEO-Plugins für WordPress mit mehr als 3 Millionen aktiven Installationen. Das Plugin unterstützt Website-Betreiber bei der Suchmaschinenoptimierung durch Funktionen wie die Generierung von Metadaten, Erstellung von XML-Sitemaps, Integration strukturierter Daten sowie KI-gestützte Tools für die Erstellung von Titeln, Beschreibungen, Blogbeiträgen, FAQs, Social-Media-Posts und Bildgenerierung.

Diese KI-Funktionen basieren auf einem zentralen AI-Zugriffstoken, welches die Kommunikation zwischen dem Plugin und den externen AIOSEO-KI-Diensten ermöglicht.

Technische Details der Sicherheitslücke

Gemäss Wordfence liegt die Ursache der Schwachstelle in einer fehlenden Berechtigungsprüfung bei einem spezifischen REST API-Endpunkt des Plugins. Dies ermöglichte Nutzern mit Contributor-Berechtigungen den Zugriff auf das globale AI-Token.

In WordPress-Umgebungen fungiert eine API als Schnittstelle zwischen der WordPress-Website und verschiedenen Softwareanwendungen, einschliesslich externer Dienste wie dem AIOSEO KI-Inhaltsgenerator. Diese Schnittstellen ermöglichen eine sichere Kommunikation und Datenaustausch. Ein REST-Endpunkt ist dabei eine URL, die Zugriff auf Funktionalitäten oder Daten bereitstellt.

Der betroffene REST API-Endpunkt lautet:
/aioseo/v1/ai/credits

Dieser Endpunkt sollte eigentlich Informationen über die KI-Nutzung und verbleibende Credits der Website zurückgeben. Die fehlende Überprüfung der Nutzerberechtigung führte jedoch dazu, dass das AIOSEO-Plugin nicht validierte, ob der anfragende Nutzer mit Contributor-Berechtigung tatsächlich Zugriff auf diese Daten haben sollte.

Dadurch konnten alle eingeloggten Nutzer mit Contributor-Berechtigung oder höher den Endpunkt aufrufen und das globale AI-Zugriffstoken der Website abrufen.

Wordfence beschreibt die Schwachstelle wie folgt: Die fehlende Autorisierungsprüfung ermöglicht es authentifizierten Angreifern mit Contributor-Zugriff oder höher, das globale AI-Zugriffstoken offenzulegen.

Das Problem lag in der Implementierung des REST API-Endpunkts, der keine Berechtigungsprüfung durchführte und somit Contributors dieselben Rechte wie Administratoren beim Abruf des AI-Tokens einräumte.

In WordPress sollten REST API-Routen grundsätzlich Capability-Checks beinhalten, um sicherzustellen, dass nur autorisierte Nutzer darauf zugreifen können. Diese Prüfung fehlte in diesem Fall vollständig.

Potenzielle Risiken der Sicherheitslücke

In WordPress-Systemen stellt die Contributor-Rolle eine der niedrigsten Berechtigungsstufen dar. Viele Websites vergeben diese Berechtigung an mehrere Personen, damit diese Artikelentwürfe zur Überprüfung und Veröffentlichung einreichen können.

Durch die Offenlegung des globalen AI-Tokens gegenüber diesen Nutzern wurde effektiv ein systemweiter Zugriffsschlüssel preisgegeben, der die Kontrolle über die KI-Funktionen ermöglicht. Dieses Token könnte für folgende Zwecke missbraucht werden:

Unautorisierte KI-Nutzung

Das Token funktioniert als systemweite Berechtigung für KI-Anfragen. Erhält ein Angreifer Zugriff darauf, könnte er potentiell KI-Inhalte über das Konto der betroffenen Website generieren und dabei verfügbare Credits oder Nutzungslimits verbrauchen.

Service-Erschöpfung

Ein Angreifer könnte automatisierte Anfragen mit dem exponierten Token durchführen, um das verfügbare KI-Kontingent der Website zu erschöpfen. Dies würde Website-Administratoren daran hindern, die benötigten KI-Funktionen zu nutzen und effektiv einen Denial-of-Service für die KI-Tools des Plugins darstellen.

Obwohl die Schwachstelle keine direkte Code-Ausführung ermöglicht, stellt die Preisgabe eines systemweiten API-Tokens dennoch ein erhebliches Abrechnungsrisiko dar.

Häufung von Sicherheitslücken im Plugin

Dies ist nicht die erste Sicherheitslücke in All in One SEO im Zusammenhang mit fehlender Autorisierung oder Zugriff durch Nutzer mit niedrigen Berechtigungen. Laut Wordfence wurden allein im Jahr 2025 sechs Schwachstellen in diesem Plugin gemeldet. Viele davon ermöglichten Contributors oder Subscribers den Zugriff auf oder die Modifikation von Daten, auf die sie keinen Zugriff haben sollten.

Diese Probleme umfassten SQL-Injection, Informationsoffenlegung, willkürliche Medienlöschung, fehlende Autorisierungsprüfungen, Preisgabe sensibler Daten und Stored Cross-Site Scripting. Das wiederkehrende Muster bei diesen Meldungen ist die unzureichende Berechtigungsdurchsetzung für Nutzer mit niedrigen Privilegien - derselbe grundlegende Fehlertyp, der auch zur AI-Token-Exposition in diesem Fall führte.

Sechs Sicherheitslücken in einem Jahr stellen ein aussergewöhnlich hohes Niveau für ein SEO-Plugin dar. Zum Vergleich: Das Yoast SEO Plugin hatte im Jahr 2025 keine Sicherheitslücken, RankMath verzeichnete vier Schwachstellen und Squirrly SEO lediglich drei.

Behebung der Sicherheitslücke

Die Schwachstelle betrifft alle Versionen von All in One SEO bis einschliesslich Version 4.9.2. Sie wurde in Version 4.9.3 behoben, die ein Sicherheitsupdate enthält. Die Plugin-Entwickler beschreiben die Änderung im offiziellen Changelog wie folgt: API-Routen wurden gehärtet, um zu verhindern, dass das AI-Zugriffstoken exponiert wird.

Diese Änderung adressiert direkt die von Wordfence identifizierte REST API-Schwachstelle.

Empfohlene Massnahmen für Website-Betreiber

Alle Nutzer von All in One SEO sollten umgehend auf Version 4.9.3 oder neuer aktualisieren. Websites, die mehreren externen Contributors Zugriff gewähren, sind besonders gefährdet, da Konten mit niedrigen Berechtigungen bei verwundbaren Versionen auf das AI-Token der Website zugreifen konnten.

Professionelle Hosting-Lösungen für sichere WordPress-Umgebungen

Die Sicherheit Ihrer WordPress-Website hängt massgeblich von der Qualität Ihrer Hosting-Infrastruktur ab. METANET bietet spezialisiertes WordPress Hosting mit automatischen Updates, erweiterten Sicherheitsfunktionen und professionellem Support. Unsere Managed Cloud Server und VPS-Lösungen bieten Ihnen die volle Kontrolle über Ihre WordPress-Umgebung mit der Flexibilität, Sicherheitsmassnahmen nach Ihren spezifischen Anforderungen zu konfigurieren.

Für Unternehmen mit mehreren WordPress-Installationen empfehlen wir unsere Virtual Data Center Lösungen, die eine zentrale Verwaltung und erhöhte Sicherheitskontrolle ermöglichen. Mit unseren professionellen E-Mail-Adressen und Domain-Services erhalten Sie eine komplette, sichere Online-Präsenz aus einer Hand.

Kontaktieren Sie unsere Experten für eine individuelle Beratung zu Ihren WordPress-Sicherheitsanforderungen und erfahren Sie, wie unsere Server-Lösungen Ihre Website-Sicherheit nachhaltig verbessern können.