Mehr als 40.000 WooCommerce-Shops mit dem Plugin Funnel Builder von FunnelKit laufen seit dieser Woche in eine aktive Skimming-Kampagne. Eine kritische Lücke erlaubt es Angreifern, JavaScript ohne Authentifizierung in jede Checkout-Seite zu injizieren. Wer noch auf einer Version vor 3.15.0.3 läuft, sollte das Backend in den nächsten Minuten öffnen.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Wie funktioniert der Angriff?
Entdeckt hat die Kampagne das niederländische E-Commerce-Security-Unternehmen Sansec. Die Angreifer nutzen einen ungeschützten Checkout-Endpunkt aus, über den sich die globalen Plugin-Einstellungen ohne Login manipulieren lassen. Sobald die Angreifer Schreibzugriff haben, hinterlegen sie einen vermeintlichen Google-Tag-Manager-Eintrag im Plugin-Feld „External Scripts“. Dieser Eintrag wird anschließend auf jeder Checkout-Seite des Shops ausgeliefert.
Der eigentliche Schadcode kommt nachgeladen. Das gefälschte GTM-Skript baut eine WebSocket-Verbindung zu einer Command-and-Control-Domain unter protect-wss[.]com auf und lädt von dort einen Skimmer, der speziell auf das Layout des Opfer-Shops zugeschnitten ist. Das Ziel sind Kreditkartennummern, CVV-Codes, Rechnungsadressen und alle weiteren Daten, die ein Kunde im Checkout eingibt. Sansec hat mindestens einen Fall dokumentiert, in dem das Payload-Skript erfolgreich Kundendaten abgegriffen hat.
Welche Versionen sind betroffen?
Verwundbar sind alle Versionen des Plugins vor 3.15.0.3. Eine offizielle CVE-Kennung gibt es bislang nicht, was die Sichtbarkeit in den üblichen Vulnerability-Feeds einschränkt und Shop-Betreiber leicht im Unklaren lässt. FunnelKit hat den Patch am 15. Mai 2026 freigegeben. In der Versions-Notiz bestätigt der Hersteller: „Wir haben ein Problem identifiziert, das es Angreifern erlaubt hat, Skripte zu injizieren.“
Brisant ist die Häufung der Funnel-Builder-Schwachstellen. Allein in den vergangenen sechs Monaten gab es nach Daten von WPScan eine unauthentifizierte SQL Injection (vor 3.13.1.6), eine Reflected XSS (vor 3.12.0.1) und mehrere authentifizierte XSS-Lücken. Die aktuelle Schwachstelle ist die erste mit dokumentierter aktiver Ausnutzung in der freien Wildbahn.
Wer einen WooCommerce-Shop betreibt, sollte Plugin-Updates nicht mehr als optional behandeln. Das Plugin sitzt direkt im Checkout, und ein Skimmer dort kostet sofort Reputation und Bargeld.
— Markus Seyfferth, Chefredakteur Dr. Web
Was sollten Shop-Betreiber jetzt tun?
Drei Schritte sind aus Sicht der Redaktion jetzt prioritär. Erstens: Im WordPress-Backend auf Funnel Builder 3.15.0.3 aktualisieren, sofort und ohne Staging-Umweg. Zweitens: Unter Einstellungen, Checkout, External Scripts prüfen, ob dort fremde Skript-Tags hinterlegt sind. Drittens: In den Logs der vergangenen vier Wochen nach Aufrufen der Checkout-Seite und parallelen WebSocket-Verbindungen suchen, insbesondere zu unbekannten Domains.
Wer bereits eine Kompromittierung feststellt, sollte zusätzliche Schritte einplanen. Alle Admin-Passwörter rotieren. Sämtliche Salts und Authentifizierungs-Keys in der wp-config.php regenerieren. Die Datenbank auf nicht angeforderte Optionen durchsuchen, vor allem auf Plugin-spezifische Einträge mit verdächtigen Domain-Strings. Und im Worst Case die betroffenen Zahlungs-Dienstleister benachrichtigen, weil die abgeflossenen Kartendaten unter Umständen meldepflichtig sind.
Was sagt der Vorfall über die WordPress-Sicherheitslage 2026?
Der Fall reiht sich in ein Muster, das WP Vanguard im Mai-Bericht zusammenfasst. Drei von vier hochkritischen Schwachstellen des Monats waren Authentifizierungs- oder Autorisierungs-Fehler, nicht klassische Code-Execution-Bugs. Hinzu kommen die kritischen Avada-Builder-Lücken in den Versionen 3.15.2 und älter, die mit einer SQL Injection und einem Arbitrary File Read sogar Zugriff auf die wp-config.php erlauben. Auch hier hilft nur die aktuelle Version 3.15.3.
Der Trend lässt sich klar lesen. KI-gestützte Schwachstellenforschung beschleunigt die Distance-to-disclosure dramatisch. Das Burst-Statistics-Leck (CVE-2026-8181) ging in 19 Tagen vom Release des fehlerhaften Codes bis zum Patch. Zwei Jahre zuvor lag ein vergleichbarer Fund 60 bis 180 Tage offen. Für Shop-Betreiber bedeutet das: Die Reaktionszeit wird kürzer, der Aufwand für regelmäßige Updates höher. Wer mehr als eine Handvoll WordPress-Sites verwaltet, sollte automatisierte Vulnerability-Scans wöchentlich gegen die installierten Plugin-Versionen laufen lassen.
Eine solide Hosting-Umgebung mit aktiver Sicherheits-Überwachung reduziert das Risiko spürbar. Wer noch auf einem Provider ohne dedizierten WordPress-Stack hostet, findet im aktuellen WordPress-Hosting-Vergleich eine Übersicht der DACH-Anbieter mit automatisierten Plugin-Updates und Malware-Scans.
