Viele Websites betroffen: 30 Wordpress-Plug-ins gekauft und Backdoor eingeschleust
Einem böswilligen Akteur ist es gelungen, mit dem Erwerb eines Wordpress-Plug-in-Entwicklers Schadcode auf unzählige Webseiten zu schleusen und sich dadurch Backdoors einzurichten. Davor warnt der Wordpress-Hoster Anchor in einem Blogbeitrag(öffnet im neuen Fenster). Alle Plug-ins wurden demnach ursprünglich von einem indischen Team entwickelt. Aufgrund sinkender Einnahmen verkaufte dieses sein Unternehmen jedoch Anfang 2025.
Der Handel wurde damals über die Plattform Flippa abgeschlossen(öffnet im neuen Fenster). Ein Käufer namens Kris erwarb die betroffenen Plug-ins zusammen mit der Entwicklerfirma Essential Plugin für einen sechsstelligen Geldbetrag. "Wir wollen das. Wir wollen die Assets, den Traffic, den guten Ruf", erklärte der Käufer damals.
Später wurde auch klar, warum Kris ein so großes Interesse an der Firma hatte. Wenige Wochen nach der Transaktion, im August 2025, baute er laut Anchor heimlich eine Backdoor ein. Er ergänzte Funktionen, um Code von einem externen Server nachzuladen und zur Ausführung zu bringen. Im Changelog war derweil lediglich von Kompatibilitätsanpassungen für die Wordpress-Version 6.8.2 die Rede.
Wordpress-Nutzer sollten handeln
Die genannte Backdoor war allerdings nicht sofort aktiv und blieb daher noch einige Monate unentdeckt. Erst Anfang April 2026 begannen die Plug-ins von Essential Plugin plötzlich verdächtigen Code nachzuladen. Da die Plug-ins der Entwicklerfirma laut Website(öffnet im neuen Fenster) zusammen auf mehr als 400.000 aktive Installationen kommen, ist die potenzielle Angriffsfläche entsprechend groß.
Anchor listet in seinem Blogbeitrag 31 Plug-ins auf, die betroffen sein sollen. Der Entwickler von Wordpress soll diese jedoch alle schon am 7. April 2026, also kurz nach Aktivierung der Backdoor, mit einem Update unschädlich gemacht und aus der Plug-in-Datenbank der Plattform entfernt haben. Aktuell sind dort von Essential Plugin keine Plug-ins mehr zu finden(öffnet im neuen Fenster).
Wer eine Wordpress-basierte Webseite betreibt, sollte dringend prüfen, ob er eines der betroffenen Plug-ins installiert hat. "Wenn Sie eines finden, patchen Sie es oder entfernen Sie es", rät Anchor.
Kritik an fehlenden Schutzvorkehrungen
Der Hoster warnt zudem, dass dies im Wordpress-Ökosystem nicht der erste Fall dieser Art sei. Schon 2017 habe ein Käufer namens Daley Tias ein mindestens 200.000 Mal installiertes Plug-in namens Display Widgets für 15.000 US-Dollar gekauft und Spam-Funktionen eingeschleust. Später habe er dies bei mindestens neun weiteren Plug-ins wiederholt.
"Der Marktplatz für Wordpress-Plug-ins hat ein Vertrauensproblem", warnt Anchor vor diesem Hintergrund. Es gebe dort keinen Mechanismus, um Nutzer über die Übernahme eines installierten Plug-ins zu informieren. Auch werde keine zusätzliche Codeprüfung ausgelöst, wenn ein neuer Entwickler Code zu einem bestehenden Plug-in beisteuere.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.