Widerrufsbutton, Plugin-Lücken & GEZ-Phishing: 19. Juni

Noch 16 Tage bis zum 19. Juni 2026. Ab dann ist der Widerrufsbutton für Online-Händler gesetzlich verpflichtend. Gleichzeitig hat WP Vanguard im Mai zwei kritische WordPress-Plugin-Lücken gemeldet, die zusammen über elf Millionen Installationen betreffen. Und seit Mitte Mai kursiert eine neue Phishing-Welle gegen Betriebe, die täuschend echte GEZ- und IHK-Mails nutzt. Drei Themen, alle akut.

Was du in 10 Minuten erfährst:

Warum der 19. Juni für Online-Händler der härteste Stichtag des Jahres ist (§ 356a BGB, 18 Tage)
Welche zwei WordPress-Plugins sofort geupdated werden müssen (WPForms + LiteSpeed Cache, 11 Mio. Sites)
Wie die neue GEZ-Phishing-Welle funktioniert und woran du sie erkennst

Die drei Themen dieser Woche haben wenig miteinander zu tun. Aber sie teilen eines: Wer jetzt nichts tut, zahlt später einen höheren Preis. Der Widerrufsbutton hat einen festen Stichtag mit Abmahnrisiko. Die Plugin-Lücken sind aktiv ausnutzbar. Die Phishing-Mails kursieren und treffen gerade Betriebe die nicht damit rechnen.

Als Webentwickler aus der Region Oldenburg beobachte ich alle drei Themen bei Betrieben aus Ganderkesee, Wildeshausen und Umgebung. Nicht theoretisch, sondern konkret in meinen Website-Checks.

Thema	Dringlichkeit	Betrifft dich wenn...
Widerrufsbutton	⏰ 18 Tage (19.06.)	Du Online-Shop betreibst oder digitale Services verkaufst
WPForms + LiteSpeed	🔥 Sofort	Du WordPress mit einem dieser Plugins nutzt
GEZ/IHK-Phishing	⚠️ Aktuell	Du und deine Mitarbeiter geschäftliche E-Mails empfangen

Thema

Dringlichkeit

Betrifft dich wenn...

Widerrufsbutton

⏰ 18 Tage (19.06.)

Du Online-Shop betreibst oder digitale Services verkaufst

WPForms + LiteSpeed

🔥 Sofort

Du WordPress mit einem dieser Plugins nutzt

GEZ/IHK-Phishing

⚠️ Aktuell

Du und deine Mitarbeiter geschäftliche E-Mails empfangen

Schnelltest in 30 Sekunden: Was gilt für dich?

Sofort und heute: Du betreibst WordPress mit WPForms oder LiteSpeed Cache. Beide Plugins sofort updaten.

Diese Woche starten: Du hast einen Online-Shop. Widerrufsbutton-Implementierung beginnen, 18 Tage Puffer reichen kaum für Tests.

Team informieren: Du beschäftigst Mitarbeiter die E-Mails lesen. GEZ/IHK-Phishing kurz erklären, damit niemand auf eine spanische IBAN überweist.

Countdown: 18 Tage bis zum Widerrufsbutton

Am 19. Juni 2026 tritt § 356a BGB in Kraft. Online-Händler und Anbieter digitaler Dienstleistungen müssen ab dann eine elektronische Widerrufsfunktion bereitstellen. Der Button muss gut sichtbar sein, klar beschriftet ("Vertrag widerrufen" oder gleichbedeutend), dauerhaft erreichbar während der gesamten Widerrufsfrist, und zweistufig: erst Auswahl, dann Erklärung mit automatischer Eingangsbestätigung.

Was viele Betriebe noch nicht verstanden haben: "Stornieren" reicht als Beschriftung nicht. Der Button darf nicht hinter einem Login versteckt sein. Pop-ups dürfen ihn nicht verdecken. Und er muss funktionieren, nicht nur da sein. Eine Eingangsbestätigung die nicht ankommt weil das E-Mail-Template fehlt, ist genauso problematisch wie kein Button.

Die Sanktionen sind real. Abmahnungen sind ab Tag eins möglich. Bei fehlerhaftem Widerrufshinweis verlängert sich die Widerrufsfrist um ein Jahr. Bei Dienstleistungen die bereits erbracht wurden, kann der Wertersatzanspruch entfallen.

Wie ich bereits im Artikel zum Countdown vor 33 Tagen beschrieben habe, ist der Stand in den Shop-Systemen unterschiedlich. Shopware liefert seit Version 6.7.9.0 eine native Lösung mit Backport auf 6.6. WooCommerce und Shopify brauchen Plugins beziehungsweise Apps, die vor dem Stichtag getestet werden müssen.

18 Tage sind knapp

Implementierung, Testing, E-Mail-Vorlagen prüfen, Kundenkonto-Integration testen. Das braucht realistische Zeit. Wer erst am 18. Juni anfängt, wird nicht fertig. Wer noch diese Woche beginnt, hat einen Puffer für Probleme.

KurzWiderrufsbutton Pflicht ab 19.06. (18 Tage). Shopware: native Lösung ab 6.7.9.0. WooCommerce/Shopify: manuell. "Stornieren" reicht nicht. Eingangsbestätigung muss funktionieren.

🔍 Kommt dir das bekannt vor?

Viele meiner Kunden standen vor genau dieser Herausforderung. In einem kostenlosen Erstgespräch analysiere ich deine Situation und gebe eine ehrliche Einschätzung.

Kostenloses Erstgespräch anfragen →

⏱️ Antwort binnen 24 Stunden

WordPress-Plugin-Lücken Mai 2026: WPForms und LiteSpeed Cache

WP Vanguard hat im Mai 2026 zwei erhebliche Sicherheitslücken in viel genutzten WordPress-Plugins veröffentlicht. Beide betreffen große Installationszahlen, beide sind bereits gepatcht. Wer nicht geupdated hat, ist verwundbar.

WPForms (CVE-2026-4633): WPForms ist eines der meistgenutzten Formular-Plugins, mit über sechs Millionen aktiven Installationen. Die Lücke erlaubt einen "authenticated arbitrary file upload" mit Einschränkung auf Nutzer mit der Berechtigung "upload_files". Das klingt begrenzt. Aber WP Vanguard warnt explizit: "Real risk on multi-author sites." Wer einen Blog mit mehreren Redakteuren oder Autorenrollen betreibt, hat ein echtes Problem wenn WPForms nicht geupdated ist.

LiteSpeed Cache (Authenticated XSS): LiteSpeed Cache ist ein Cache-Plugin mit über fünf Millionen Installationen. Die gemeldete Cross-Site-Scripting-Schwachstelle ist ebenfalls "authenticated". Auch hier gilt: Auf Sites mit mehreren Nutzerzugängen ist das Risiko real.

Beide Plugins haben Patches erhalten. Was zu tun ist: WordPress-Dashboard öffnen, unter "Plugins" nach verfügbaren Updates schauen, beide Plugins auf die aktuelle Version aktualisieren. Das ist ein Zwei-Minuten-Vorgang. Vorher Backup. Immer.

Was viele Betreiber von WordPress-Sites nicht wissen: "Authenticated" bedeutet nicht "sicher". Es bedeutet nur dass der Angreifer einen Account auf deiner Site braucht. Auf Sites mit Kontakt-, Bewerbungs- oder Kommentar-Formularen können Nutzer Accounts anlegen. Oder ein Angreifer hat sich anderweitig Zugang verschafft. "Authenticated" ist keine Entwarnung.

Aus der Praxis

Was ich bei Website-Checks in der Region häufig sehe: WordPress-Installationen mit einem oder beiden dieser Plugins, letzte Update-Kontrolle vor drei bis sechs Monaten. Viele Betriebe haben automatische Updates deaktiviert weil einmal ein Update die Website kaputt gemacht hat. Das ist verständlich. Aber dann braucht es jemanden der regelmäßig manuell schaut. Sonst sammeln sich Sicherheitslücken wie ungeleerte Briefkästen.

KurzWPForms (CVE-2026-4633): 6 Mio. Sites, file upload Lücke, real risk bei Multi-Autor-Sites. LiteSpeed Cache: 5 Mio. Sites, XSS. Beide haben Patches. Sofort updaten, vorher Backup.

Phishing-Welle Mai 2026: GEZ, IHK und Microsoft 365

Seit dem 11. Mai 2026 kursieren drei separate Phishing-Angriffe die gezielt Betriebe und Selbstständige treffen. Alle drei sind besonders gefährlich weil sie legitim aussehende Behörden und Institutionen imitieren.

Die GEZ-Fake-Mails

Betreff: "Ihr Zahlungsplan für den Rundfunkbeitrag ab 2026." Die Mails sehen täuschend echt aus. Absenderadresse ähnelt der offiziellen Rundfunkbeitrag-Domain. Der Inhalt erklärt eine angebliche Planänderung für den Rundfunkbeitrag 2026 und fordert eine Sofortüberweisung auf eine IBAN.

Das Erkennungsmerkmal: Die IBAN ist spanisch (beginnt mit ES). Der Beitragsservice Deutschland hat keine spanischen Bankkonten. Wer einen genaueren Blick auf die Absender-E-Mail-Adresse wirft, findet minimale Abweichungen von der echten Domain. Die Mails sind laut Verbraucherzentrale deutlich professioneller gestaltet als frühere Phishing-Mails dieser Art.

Der IHK-Datenaktualisierungs-Betrug

Parallel kursieren E-Mails die angeblich von der IHK oder DIHK kommen und zur "Datenaktualisierung" auffordern. Ziel ist das Abgreifen von Kontodaten oder das Einladen zum Klick auf einen präparierten Link. Auch hier gilt: offizielle IHK-Kontakte verlaufen nie über unaufgeforderte E-Mails mit Kontodaten-Abfrage.

Microsoft 365 "Direct Send" Missbrauch

Das ist die technisch raffinierste der drei Varianten. Angreifer missbrauchen eine legitime Microsoft-365-Funktion namens "Direct Send" um E-Mails zu verschicken die SPF- und DMARC-Prüfungen bestehen. Das bedeutet: Spam-Filter erkennen diese Mails oft nicht als Phishing, weil sie technisch "korrekt" signiert sind. Der Inhalt variiert, oft sind es gefälschte Rechnungen oder Zahlungsaufforderungen.

Die Schwierigkeit: Klassische technische Erkennungsmerkmale greifen hier nicht. Was hilft ist gesunder Menschenverstand. Unerwartete Zahlungsaufforderungen von bekannten Absenderdomains, die du nicht erwartet hast, immer telefonisch bestätigen. Nicht auf Links klicken, Absenderadresse direkt eingeben.

Sofortmaßnahme: Team informieren

Phishing trifft selten den Chef direkt. Es trifft die Mitarbeiterin im Büro die eine GEZ-Mail bekommt und denkt "das muss ich erledigen". Ein kurzes Gespräch oder eine kurze Mitteilung an alle die geschäftliche Mails lesen reicht oft als Schutz: Überweisungen auf neue IBANs immer telefonisch bestätigen. Offizielle Stellen (GEZ, IHK, Microsoft) fordern keine Sofortüberweisungen per Mail.

Aus der Praxis

Was ich bei Website-Checks in der Region regelmäßig sehe: Kleinere Betriebe in Oldenburg und Umgebung haben oft keine IT-Sicherheitsrichtlinien. Die E-Mail läuft über ein einfaches Postfach, kein DMARC, kein SPF-Monitoring. Das macht sie anfälliger für Direct-Send-Angriffe. Aber auch ohne technische Maßnahmen hilft das einfachste Mittel: Verdächtige Zahlungsaufforderungen immer auf anderem Weg bestätigen.

KurzGEZ-Phishing: spanische IBAN, sofort erkennbar. IHK-Betrug: Datenabfrage per Mail, nie legitim. Microsoft-365-Direct-Send: passiert Spamfilter, erkennbar nur durch Misstrauen bei unerwarteten Zahlungen.

⚡ Brauchst du Unterstützung?

Ich helfe dir bei der Umsetzung – von der Planung bis zum Go-Live.

Persönliche Beratung & Betreuung
Transparente Preise & faire Konditionen
Aus Oldenburg – für dein Business

Projekt besprechen →

⏱️ Antwort binnen 24 Stunden

Was diese Woche konkret zu tun ist

Heute: WordPress-Dashboard öffnen, WPForms und LiteSpeed Cache auf aktuelle Version updaten. Vorher Backup. Das dauert zehn Minuten.

Diese Woche: Widerrufsbutton-Status im Shop prüfen. Bei Shopware: Version prüfen, ob 6.7.9.0 oder höher. Bei WooCommerce und Shopify: aktive Plugin- oder App-Lösung vorhanden und getestet? Wenn nicht: jetzt anfangen.

Team-Kurzmitteilung: Phishing-Welle kurz kommunizieren. "Wenn ihr eine GEZ-Mail mit Überweisungsaufforderung bekommt, nicht zahlen. Wenn eine IHK-Mail nach Kontodaten fragt, melden." Das kostet zwei Minuten und verhindert potenziell erheblichen Schaden.

Die gute Nachricht: Die meisten Betriebe in der Region haben diese drei Punkte noch nicht abgearbeitet. Wer diese Woche handelt, ist seinen Wettbewerbern einen Schritt voraus. Beim Widerrufsbutton hat das Abmahnrisiko ab dem 20. Juni echte Konsequenzen. Bei den Plugin-Updates ist das Risiko schon heute real.

Wenn du nicht weißt was auf deiner WordPress-Site installiert ist, welche Version dein Shop-System hat, oder ob deine E-Mail-Domain gegen Phishing-Missbrauch abgesichert ist, ist ein Website-Check der schnellste Weg zur Klarheit.

🚀 Lass uns über dein Projekt sprechen

In einem kostenlosen 30-Minuten-Erstgespräch analysiere ich deine Anforderungen und gebe konkrete Empfehlungen – unverbindlich und ehrlich.

Termin vereinbaren →

#Widerrufsbutton #Phishing-Schutz #E-Commerce-Recht #WordPress #Website-Wartung

Häufige Fragen

Gilt der Widerrufsbutton auch für Dienstleister oder nur für Produktverkäufer?

Der § 356a BGB betrifft alle B2C-Online-Verträge mit Widerrufsrecht. Das umfasst Produktverkäufer, aber auch Anbieter digitaler Dienstleistungen die online abgeschlossen werden. Wenn du über deine Website Verträge mit Verbrauchern schließt, zum Beispiel Coaching-Buchungen, Softwarelizenzen oder digitale Downloads, gilt die Pflicht wahrscheinlich auch für dich. Bei reinen B2B-Geschäften (ausschließlich Geschäftskunden) greift das Gesetz nicht. Im Zweifelsfall lohnt sich eine kurze Überprüfung durch eine Rechtsberatung. Dieser Artikel ist kein Rechtsrat.

Ich habe Shopware. Bekomme ich den Widerrufsbutton automatisch?

Nur wenn du auf Version 6.7.9.0 oder höher bist. Shopware liefert seit dieser Version eine native Lösung mit Backport auf 6.6. Aber das Update installiert sich nicht von selbst. Prüfe im Shopware-Backend unter "Einstellungen" die aktuell aktive Version. Wenn du unter 6.7.9.0 bist, musst du updaten. Wenn du bereits auf der richtigen Version bist, prüfe ob die Funktion auch aktiviert ist. Ein Update zu haben und die Funktion nicht einzuschalten schützt dich genauso wenig wie kein Update.

Wie erkenne ich eine GEZ-Phishing-Mail sicher?

Das sicherste Erkennungsmerkmal der aktuellen Welle: Die angegebene IBAN beginnt mit "ES" und ist damit eine spanische Bankkontonummer. Der Beitragsservice Deutschland nutzt ausschließlich deutsche Bankkonten. Zweites Merkmal: Sofortüberweisung auf eine neue IBAN ohne vorherigen schriftlichen Bescheid. Der Beitragsservice kommuniziert Änderungen schriftlich per Post. Wenn du dir unsicher bist, ruf direkt beim Beitragsservice an, nutze die Nummer von der offiziellen Website rundfunkbeitrag.de, nicht die Nummer aus der verdächtigen Mail.

Muss ich nach dem WPForms-Update etwas prüfen?

Nach jedem Plugin-Update lohnt ein kurzer Funktionstest. Bei WPForms: Öffne dein Kontaktformular im Browser und schicke eine Testanfrage. Kommt die Bestätigungs-E-Mail an? Kommt die Benachrichtigung an dich an? Wenn ja, läuft alles. Wenn nicht, ist das keine Folge des Updates sondern ein Problem das vorher schon bestand und jetzt auffällt. Das Plugin-Update selbst verändert keine E-Mail-Einstellungen oder Formularfelder. Sicherheitsupdates patchen nur die Lücke im Hintergrund.

Wie schütze ich meinen Betrieb vor dem Microsoft-365-Direct-Send-Phishing?

Die technische Lösung ist DMARC mit Policy "reject" auf deiner E-Mail-Domain, was den Missbrauch deiner eigenen Domain verhindert. Aber das schützt nicht vor gefälschten Mails die andere Domains nutzen. Der wichtigste Schutz ist organisatorisch: Unerwartete Zahlungsaufforderungen immer über einen zweiten Kanal bestätigen, am besten telefonisch über eine bekannte Nummer. Keine Überweisungen auf neue IBANs nur aufgrund einer E-Mail, egal wie seriös sie wirkt. Das gilt auch für Mitarbeiter, nicht nur für die Geschäftsführung.

Artikel teilen: