Wenn das Control Panel zur Schwachstelle wird: Lektionen aus dem cPanel-Auth-Bypass

Wer Server betreibt, kennt cPanel und WHM: Sie sind der zentrale Schalter für Domains, SSL-Zertifikate, E-Mails, Datenbanken und mehr. Ein Loch, das die Anmeldung umgeht, ist kein kleiner Fehler. Es ist ein Alarm für alle.

Die Lücke, die alle überraschte

Am 28. April 2026 gab cPanel eine Hiobsbotschaft raus: Eine schwere Auth-Bypass-Schwachstelle traf fast alle Versionen von cPanel und WHM – sogar die alten, die schon aus dem Support waren. Die Lücke saß direkt in der Login-Schicht. Angreifer kamen ohne gültige Zugangsdaten rein.

Noch schlimmer: Exploits kursierten schon, bevor der Patch da war.

Schwarze Hacker hatten die Lücke längst ausgenutzt und scannten Server weltweit. KnownHost, ein großer Managed-Hosting-Anbieter, bestätigte Angriffe auf ihrer Infra. cPanel sprach von einem "branchenweiten Problem" – eine Untertreibung.

Die Reaktion der Branche: Stunden wie Ewigkeiten

Hosting-Firmen sind sonst nicht die Schnellsten. Aber hier haben sie Gas gegeben.

Kurz nach dem Alarm handelten die Großen:

• KnownHost sperrte cPanel- und WHM-Ports um 14:39 Uhr lokal
• hosting.com schaltete die Panels auf allen Servern ab
• Namecheap, HostPapa und InMotion Hosting blockten auf Netzwerkebene

Betroffen waren die Standardports: 2082/2083 (cPanel HTTP/HTTPS), 2086/2087 (WHM HTTP/HTTPS), 2095/2096 (Webmail) und 2077/2078 (WebDisk).

Wichtig: Websites, E-Mails und Apps liefen weiter. Nur der Admin-Zugang war blockiert – genau das Richtige gegen Einbrecher.

cPanel stellte den Patch nach 2-3 Stunden online. Große Provider brauchten noch 4-5 Stunden zum Rollout. Am Abend war die Sache meist erledigt.

Warum das für deine Setup zählt

Der Vorfall zeigt klare Lektionen für Hosting-Sicherheit:

1. Control Panel ist der Jackpot für Hacker

Mit Zugang zum Panel knackt man alles: Neue User anlegen, DNS ändern, SSL klauen, Datenbanken plündern, E-Mails abfangen. Auth-Bypass ist die Krone der Katastrophen.

2. Zero-Days werden schnell Waffen

Exploits vor Patches sind kein Zufall mehr – sie sind Normalität. Automatisierte Scanner greifen zu, sobald etwas publik wird. Dein Panel im Netz? Es wird getestet.

3. Schnelles Teamwork rettet

Die Branche hat hier punkten können. Provider haben Sicherheit vor Verfügbarkeit gestellt. Respekt dafür.

Deine To-Do-Liste jetzt

Nutzt du cPanel oder WHM?

• Prüfe Patches. Frag deinen Provider, ob alles aktuell ist. Automatik ist kein Garant.
• Schaue in die Logs. Suche verdächtige Logins oder Escalations vom 28. April bis Patch.
• Wechsle Passwörter. Für alle Server-Accounts, zur Sicherheit.
• Einschränke per IP. Wenn möglich, nur von festen Adressen aus zugreifen.

Suchst du einen Provider?

• Frag nach ihrem Security-Prozess. Wie schnell bei Criticals? Kommunizieren sie?
• Redundanz checken. Was, wenn das Panel offline ist?

Der große Plan: Mehrschichtiger Schutz

Ein Panel allein ist riskant. Gute Infra braucht Schichten:

• Two-Factor-Auth (muss sein)
• IP-Whitelisting für Admins
• Separate API-Keys für Automation
• Detaillierte Audit-Logs
• Regelmäßige Security-Checks

Bei NameOcean bauen wir so. Unsere Vibe Hosting Plattform nutzt AI, um Anomalien und Bedrohungen live zu spotten.

Die harte Realität

Solche Lücken kommen wieder. cPanel zeigt: Selbst etablierte Software hat Killer-Bugs. Entscheidend ist deine Reaktionsgeschwindigkeit, Info und ob der Provider dich deckt.

Die Schnellen am 28. April haben Kunden gerettet. Die Langsamen haben Risiken geschaffen.

Bei Provider-Wahl: Würden die für dich so schnell handeln?

Hattest du mal ein Security-Problem beim Host? Wie haben sie reagiert? Die Community lernt aus echten Stories. Schreib uns auf Twitter oder übers NameOcean-Dashboard.