WordPress-Gefahr: Hacker kauft über 30 Plugins, baut eine Backdoor ein
Letztes Jahr verkaufte ein seriöser Entwickler eine Sammlung von über 30 WordPress-Erweiterungen. Nutzer bekamen vom Besitzerwechsel nichts mit. Der neue Eigentümer integrierte jedoch eine Backdoor, um Traffic auf betrügerische Webseiten zu leiten.
Der Angriff erfolgte methodisch und mit viel Geduld. Mit dem Update auf Version 2.6.7, das als einfaches Kompatibilitäts-Update getarnt war, schleuste der Käufer bösartigen Code in der Skriptsprache PHP ein. Die Backdoor blieb acht Monate lang inaktiv, um keinen Verdacht bei den Seitenbetreibern zu erregen. Erst im April 2026 wurde die Schadsoftware aktiviert und begann mit der Manipulation.
Wie Anchor Hosting in einer Analyse berichtet, lieferte das System versteckten Spam zur Suchmaschinenoptimierung aus. Die Schadsoftware manipulierte die zentrale Konfigurationsdatei der Webseiten. Dadurch konnten die Angreifer unsichtbare Links platzieren, um das Ranking von betrügerischen Seiten in Suchmaschinen zu verbessern. Solche Methoden sind für Kriminelle äußerst attraktiv, da sie die Autorität legitimer Domains ausnutzen.
Die Verantwortlichen von WordPress haben mittlerweile reagiert und alle betroffenen Erweiterungen dauerhaft gesperrt. Ein erzwungenes Update auf Version 2.6.9.1 deaktivierte zwar die Kommunikation mit den Servern der Angreifer, entfernte jedoch nicht den schädlichen Code. Betroffene Anwender müssen ihre Dateien manuell bereinigen oder andere Plugins verwenden.
Während Plattformen für Pakete in JavaScript oder Python mittlerweile strenge Vorgaben wie eine Zwei-Faktor-Authentifizierung für Entwickler vorschreiben, fehlen solche Mechanismen bei WordPress bislang. Da über 40 Prozent aller Webseiten weltweit über WordPress laufen, ist das ein enormes Risiko. Das macht den systematischen Kauf von etablierten Erweiterungen zu einer hochgradig attraktiven und skalierbaren Methode für gut organisierte Cyberkriminelle.
Wie bewertet ihr die Sicherheit von Software nach solchen Vorfällen? Prüft ihr regelmäßig, wer hinter euren Programmen und Plugins steckt? Teilt eure Meinung gerne in den Kommentaren!
Siehe auch:
Gefahr durch gekaufte Software
Die Nutzung von Software seriöser Unternehmen bietet keine absolute Sicherheit. Das zeigt ein aktueller Vorfall im Ökosystem von WordPress. Hier erwarb Anfang 2025 ein Käufer die EssentialPlugin-Reihe mit insgesamt etwa 30 Erweiterungen von einem indischen Entwickler. Die Nutzer bekamen von der Übernahme nichts mit. Der neue Besitzer integrierte prompt eine Backdoor in den Quellcode der Anwendungen.Der Angriff erfolgte methodisch und mit viel Geduld. Mit dem Update auf Version 2.6.7, das als einfaches Kompatibilitäts-Update getarnt war, schleuste der Käufer bösartigen Code in der Skriptsprache PHP ein. Die Backdoor blieb acht Monate lang inaktiv, um keinen Verdacht bei den Seitenbetreibern zu erregen. Erst im April 2026 wurde die Schadsoftware aktiviert und begann mit der Manipulation.
Wie Anchor Hosting in einer Analyse berichtet, lieferte das System versteckten Spam zur Suchmaschinenoptimierung aus. Die Schadsoftware manipulierte die zentrale Konfigurationsdatei der Webseiten. Dadurch konnten die Angreifer unsichtbare Links platzieren, um das Ranking von betrügerischen Seiten in Suchmaschinen zu verbessern. Solche Methoden sind für Kriminelle äußerst attraktiv, da sie die Autorität legitimer Domains ausnutzen.
Strukturelle Schwächen im System
Der Fall offenbart ein grundlegendes Problem bei der Übergabe von Software. Der neue Eigentümer erbt direkt das Vertrauen und die Update-Rechte des ursprünglichen Entwicklers. Nutzer bleiben über den Besitzerwechsel im Dunkeln.Die Verantwortlichen von WordPress haben mittlerweile reagiert und alle betroffenen Erweiterungen dauerhaft gesperrt. Ein erzwungenes Update auf Version 2.6.9.1 deaktivierte zwar die Kommunikation mit den Servern der Angreifer, entfernte jedoch nicht den schädlichen Code. Betroffene Anwender müssen ihre Dateien manuell bereinigen oder andere Plugins verwenden.
EssentialPlugins - Alle betroffenen Erweiterungen (ausklappen)
- Accordion and Accordion Slider
- Album and Image Gallery Plus Lightbox
- Audio Player with Playlist Ultimate
- Blog Designer for Post and Widget
- Countdown Timer Ultimate
- Featured Post Creative
- Footer Mega Grid Columns
- Hero Banner Ultimate
- HTML5 VideoGallery Plus Player
- Meta Slider and Carousel with Lightbox
- Popup Anything on Click
- Portfolio and Projects
- Post Category Image with Grid and Slider
- Post Grid and Filter Ultimate
- Preloader for Website
- Product Categories Designs for WooCommerce
- Responsive WP FAQ with Category
- SlidersPack - All in One Image Sliders
- SP News and Widget
- Styles for WP PageNavi - Addon
- Ticker Ultimate
- Timeline and History Slider
- Woo Product Slider and Carousel with Category
- WP Blog and Widgets
- WP Featured Content and Slider
- WP Logo Showcase Responsive Slider and Carousel
- WP Responsive Recent Post Slider
- WP Slick Slider and Image Carousel
- WP Team Showcase and Slider
- WP Testimonial with Widget
- WP Trending Post Slider and Widget
Zunehmende Angriffe
Solche Angriffe häufen sich in der gesamten Branche. Die Angreifer nutzten in dem aktuellen Fall sogar einen Smart Contract aus dem Ethereum-Netzwerk, um ihre Server vor einer Abschaltung zu schützen. Diese dezentrale Technik erschwert es den Sicherheitsbehörden erheblich, die Infrastruktur der Kriminellen vom Netz zu nehmen. Der Code ruft dabei dynamisch neue Adressen aus der Blockchain ab.Während Plattformen für Pakete in JavaScript oder Python mittlerweile strenge Vorgaben wie eine Zwei-Faktor-Authentifizierung für Entwickler vorschreiben, fehlen solche Mechanismen bei WordPress bislang. Da über 40 Prozent aller Webseiten weltweit über WordPress laufen, ist das ein enormes Risiko. Das macht den systematischen Kauf von etablierten Erweiterungen zu einer hochgradig attraktiven und skalierbaren Methode für gut organisierte Cyberkriminelle.
Wie bewertet ihr die Sicherheit von Software nach solchen Vorfällen? Prüft ihr regelmäßig, wer hinter euren Programmen und Plugins steckt? Teilt eure Meinung gerne in den Kommentaren!
Zusammenfassung
- Neuer Eigentümer schleuste in über 30 WordPress-Plugins eine Backdoor ein
- Update 2.6.7 tarnte Schadcode als Kompatibilitätsanpassung im PHP-Code
- Backdoor blieb acht Monate still und startete erst im April 2026
- Schadsoftware setzte versteckte SEO-Links in zentrale Konfigurationsdateien
- WordPress sperrte die Erweiterungen, doch Bereinigung bleibt weitgehend manuell
- Angreifer nutzten Ethereum-Smart-Contract für dynamische Serveradressen
- Fehlende 2FA bei WordPress erhöht das Risiko solcher Angriffe enorm
Siehe auch:
- Adobe warnt: Kritische Lücke bei Acrobat - Nutzer sollen sofort updaten
- BlueHammer: Exploit-Code für ungepatchte Windows-Lücke öffentlich
- BSI warnt: D-Trust-Zertifikate verlieren durch Fehler jetzt die Gültigkeit
- Massive MediaTek-Lücke: Android-Handys in 45 Sekunden geknackt
- AirSnitch: Zentrales Sicherheits-Feature in WLANs ausgehebelt
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen