Mit dem WordPress-Plugin-Backdoor hat ein Angreifer 400.000 Sites über einen Marktplatz-Kauf infiltriert. Stellen Sie sich vor, jemand kauft eine vertrauenswürdige Plugin-Sammlung auf Flippa und schiebt acht Monate später eine Hintertür in jede einzelne Installation.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Das Wichtigste in Kürze
- Ein Angreifer kaufte das gesamte Essential-Plugin-Portfolio mit über 30 WordPress-Plugins für eine sechsstellige Summe auf Flippa
- Insgesamt waren mehr als 400.000 Installationen betroffen
- Der erste Code-Commit des neuen Eigentümers war eine PHP-Deserialisierungs-Backdoor
- WordPress.org schloss alle 31 Plugins an einem einzigen Tag
Was ist genau passiert?
Die Übernahme verlief unauffällig. Auf dem digitalen Marktplatz Flippa wurde das Essential-Plugin-Portfolio mit über 30 WordPress-Plugins und insgesamt mehr als 400.000 Installationen für eine sechsstellige Summe verkauft. Der Käufer übernahm damit nicht nur den Code, sondern auch den WordPress.org-Commit-Zugang.
Sein erster Code-Commit war eine PHP-Deserialisierungs-Backdoor. Sie blieb acht Monate inaktiv. Im April 2026 wurde sie aktiviert. Auf jeder Website mit den infizierten Plugins lud sie eine Datei namens wp-comments-posts.php, deren Name absichtlich der legitimen WordPress-Datei wp-comments-post.php ähnelte. Die Backdoor injizierte PHP-Code in wp-config.php und servierte SEO-Spam exklusiv an den Googlebot, blieb für Site-Eigentümer aber unsichtbar.
Warum ist der Angriff besonders heikel?
Die Tarnung war professionell. Die Command-and-Control-Infrastruktur nutzte einen Ethereum-Smart-Contract zur Domain-Auflösung. Klassische Domain-Takedowns funktionieren so nicht, weil der Angreifer die Smart-Contract-Konfiguration jederzeit auf eine neue Domain umstellen kann. Dieselbe Technik wurde im März 2026 beim CanisterWorm-Supply-Chain-Angriff beobachtet.
Der Sicherheitsforscher Austin Ginder von Anchor Hosting verfolgte die Zeitachse über 939 Backup-Snapshots und konnte das Injektions-Fenster auf einen sechsstündigen 44-Minuten-Zeitraum am 6. April eingrenzen. Diese Forensik-Methode lässt sich auf jede Produktivumgebung mit Backups übertragen.
Der Angriff trifft das Vertrauensmodell von WordPress ins Mark. Wer 2026 noch glaubt, ein Plugin sei nach der Installation für immer sicher, hat den Marktplatz nicht verstanden. Maintainer können verkauft werden, das ist die strukturelle Wahrheit.
— Michael Dobler, Herausgeber Dr. Web
Welche Plugins sind betroffen?
WordPress.org schloss alle 31 Plugins der Essential-Plugin-Sammlung an einem einzigen Tag. Wer diese Plugins installiert hat, wurde aus dem WordPress-Repository nicht mehr automatisch versorgt. Site-Betreiber sollten die Plugins dennoch manuell deaktivieren und entfernen, weil die Backdoor bereits aktiv sein kann.
Der Angriffsmuster ist nicht WordPress-spezifisch. Es nutzt eine strukturelle Schwäche jedes Paket-Ökosystems, in dem Maintainer-Schaft übertragen werden kann. NPM, PyPI, Browser-Extension-Stores und der VS-Code-Marketplace stehen vor demselben Risiko. KI-gestützte Angreifer beschleunigen genau diese Klasse von Angriffen.
| Plugin-Name | WordPress-Slug |
|---|---|
| Countdown Timer Ultimate | countdown-timer-ultimate |
| Popup Anything on Click | popup-anything-on-click |
| WP Testimonial with Widget | wp-testimonial-with-widget |
| WP Team Showcase and Slider | wp-team-showcase-and-slider |
| Responsive WP FAQ with Category | sp-faq |
| SP News and Widget | sp-news-and-widget |
| WP Blog and Widgets | wp-blog-and-widgets |
| Album and Image Gallery plus Lightbox | album-and-image-gallery-plus-lightbox |
| Timeline and History Slider | timeline-and-history-slider |
| Featured Post Creative | featured-post-creative |
| Post Grid and Filter Ultimate | post-grid-and-filter-ultimate |
| Footer Mega Grid Columns | footer-mega-grid-columns |
| WP Responsive Recent Post Slider | wp-responsive-recent-post-slider |
| WP Slick Slider and Image Carousel | wp-slick-slider-and-image-carousel |
| WP Featured Content and Slider | wp-featured-content-and-slider |
| Hero Banner Ultimate | hero-banner-ultimate |
| Preloader for Website | preloader-for-website |
| Accordion and Accordion Slider | accordion-and-accordion-slider |
| Portfolio and Projects | portfolio-and-projects |
| Ticker Ultimate | ticker-ultimate |
| WP Trending Post Slider and Widget | wp-trending-post-slider-and-widget |
| Woo Product Slider and Carousel with Category | woo-product-slider-and-carousel-with-category |
| Audio Player with Playlist Ultimate | audio-player-with-playlist-ultimate |
| Meta Slider and Carousel with Lightbox | meta-slider-and-carousel-with-lightbox |
| Post Category Image with Grid and Slider | post-category-image-with-grid-and-slider |
| Product Categories Designs for WooCommerce | product-categories-designs-for-woocommerce |
| Blog Designer for Post and Widget | blog-designer-for-post-and-widget |
| HTML5 VideoGallery Plus Player | html5-videogallery-plus-player |
| SlidersPack – All in One Image Sliders | sliderspack-all-in-one-image-sliders |
| Styles for WP PageNavi – Addon | styles-for-wp-pagenavi-addon |
| WP Logo Showcase Responsive Slider and Carousel | wp-logo-showcase-responsive-slider-slider |
Die Slugs sind besonders nützlich für Hoster und Agenturen, die mehrere WordPress-Sites verwalten: Per Kommando lässt sich der gesamte Server-Bestand automatisiert auf diese Verzeichnisnamen unter /wp-content/plugins/ prüfen.
Das Angriffsmuster ist nicht WordPress-spezifisch. Es nutzt eine strukturelle Schwäche jedes Paket-Ökosystems, in dem Maintainer-Schaft übertragen werden kann. NPM, PyPI, Browser-Extension-Stores und der VS-Code-Marketplace stehen vor demselben Risiko. KI-gestützte Angreifer beschleunigen genau diese Klasse von Angriffen.
Welche Lehren ziehen Site-Betreiber?
Vier Punkte.
1. Plugin-Eigentümerwechsel überwachen.
Wer im Plugin-Repository nach Verkaufs-Hinweisen oder neuen Maintainern schaut, erkennt den ersten Schritt eines Supply-Chain-Angriffs früher.
2. Backup-Forensik-Fähigkeit aufbauen.
Wer Backups nicht nur hat, sondern auch zwischen ihnen vergleichen kann, identifiziert Injektionen schnell.
3. SBOM für WordPress.
Welche Plugins laufen, in welcher Version, von welchem Maintainer?
4. Cloaking-Detection.
Wenn nur der Googlebot Spam sieht und Site-Betreiber nichts auffällt, schützt nur eine externe Crawler-Prüfung.
Was sollten WordPress-Verantwortliche jetzt sofort tun?
Drei Sofortmaßnahmen.
1. Plugin-Bestand prüfen.
Sind Plugins der Essential-Sammlung installiert? Falls ja, sofort deaktivieren, entfernen und die wp-config.php manuell auf injizierten PHP-Code prüfen.
2. Google Search Console öffnen und auf manuelle Aktionen oder Spam-Hinweise prüfen.
3. Hosting-Provider, z. B. Word Press Hoster, kontaktieren und ein Restore aus dem letzten Backup vor dem 6. April 2026 in Betracht ziehen, falls verfügbar.
Mehr #WordPress
Mehr Newshunger?
- Findet Claude Mythos jede Sicherheitslücke? Fast
- Neun Jahre alter Linux-Kernel-Bug wird aktiv ausgenutzt
- Anthropic Claude Memory: Was die neue Funktion bringt
- Wird KI 2026 kleiner statt größer? Kommt drauf an
Quellen
InfoQ – Attacker Bought 30 WordPress Plugins on Flippa and Backdoored All of Them – https://www.infoq.com/news/2026/05/wordpress-plugins-supply-chain/ – besucht am 08.05.2026
Anchor Hosting – Forensic analysis by Austin Ginder – https://anchor.host/ – besucht am 08.05.2026
2 Kommentare
Danke!
Zu „Welche Plugins sind betroffen?“ Ja, welche?
Ich kenne keine „Essential-Plugin-Sammlung“ und viele andere Web-Betreiber vllt. auch nicht.
Aber man sollte wenigstens die Namen der betroffenen Plugins nennen …
Hallo Rainer,
danke für den berechtigten Hinweis! Sie haben absolut recht — die Liste der konkreten Plugin-Namen gehörte von Anfang an in den Artikel. Wir haben das jetzt nachgereicht: Im Abschnitt „Welche Plugins sind betroffen?“ finden Sie die vollständige Liste aller 31 Plugins der Essential-Plugin-Sammlung mit den WordPress-Slugs zur Identifikation im Backend.
Die Plugin-Sammlung lief unter dem Namen Essential Plugin (vormals WP Online Support) und umfasste vor allem Slider-, Gallery-, Testimonial- und WooCommerce-Erweiterungen. Wer eines der Plugins im Verzeichnis /wp-content/plugins/ findet, sollte es deaktivieren, entfernen und die wp-config.php manuell auf injizierten PHP-Code prüfen.
Vielen Dank fürs Mitdenken — genau solche Hinweise machen den DrWeb-Kommentarbereich wertvoll.
LG
Michael