Was passiert ist
Anfang 2025 hat jemand unter dem Namen „Kris” das gesamte Essential Plugin-Portfolio über die Plattform Flippa gekauft. 30+ WordPress-Plugins, sechsstelliger Kaufpreis, Hunderttausende aktive Installationen.
8 Monate lang passierte — nichts. Die Plugins wurden weiter gepflegt, Updates kamen wie gewohnt. Am 8. August 2025 wurde dann in Version 2.6.7 des Countdown Timer Ultimate-Plugins eine Backdoor eingebaut. Unauffällig, versteckt in einem Modul namens wpos-analytics.
Am 5. April 2026 wurde die Backdoor aktiviert. Am 7. April hat WordPress.org alle 31 Plugins gleichzeitig geschlossen.
Wie der Angriff funktioniert hat
Die Methode ist erschreckend simpel — und genau deshalb so gefährlich:
- Plugins kaufen, nicht hacken. Kein Exploit nötig. Kein Zero-Day. Einfach das Geschäft übernehmen.
- Vertrauen ernten. 8 Monate normaler Betrieb. Updates, Changelogs, Support. Alles wie vorher.
- Backdoor pflanzen. Ein
wpos-analytics-Modul kommuniziert mitanalytics.essentialplugin.comund lädt eine Datei namenswp-comments-posts.phpnach — bewusst nur ein Buchstabe anders als die WordPress-Core-Dateiwp-comments-post.php. - Payload injizieren. Der Code schreibt sich in die
wp-config.php(6 KB, Dateigröße springt von 3.345 auf 9.540 Bytes). Darin: einefetch_ver_info()-Funktion mitfile_get_contents()und@unserialize()auf Remote-Daten. Plus ein unauthentifizierter REST-API-Endpoint mit vollen Zugriffsrechten. - Tarnung. Spam, Redirects und Fake-Seiten werden nur dem Googlebot angezeigt. Als Admin siehst du — nichts.
Die Command-and-Control-Domain wird über einen Ethereum Smart Contract aufgelöst. Kein klassischer DNS, kein Domain-Takedown möglich. Das ist kein Script-Kiddie-Angriff. Das ist Supply-Chain-Warfare.
Das Zeitfenster
| Datum | Was passiert ist |
|---|---|
| Anfang 2025 | „Kris” kauft das Essential Plugin Portfolio über Flippa |
| Mai 2025 | Neuer essentialplugin-Account auf WordPress.org, Author-Headers geändert |
| August 2025 | Erste Backdoor in Version 2.6.7 eingepflanzt |
| 5.–6. April 2026 | Backdoor aktiviert — 6 Stunden 44 Minuten Injections |
| 7. April 2026 | WordPress.org schließt alle 31 Plugins |
| 8. April 2026 | Force-Auto-Update auf Version 2.6.9.1 (Notfall-Patch) |
Alle 31 betroffenen Plugins
Hier die vollständige Liste — prüf, ob du eins davon nutzt:
- Accordion and Accordion Slider
- Album and Image Gallery Plus Lightbox
- Audio Player with Playlist Ultimate
- Blog Designer for Post and Widget
- Countdown Timer Ultimate
- Featured Post Creative
- Footer Mega Grid Columns
- Hero Banner Ultimate
- HTML5 VideoGallery Plus Player
- Meta Slider and Carousel with Lightbox
- Popup Anything on Click
- Portfolio and Projects
- Post Category Image with Grid and Slider
- Post Grid and Filter Ultimate
- Preloader for Website
- Product Categories Designs for WooCommerce
- Responsive WP FAQ with Category
- SlidersPack – All in One Image Sliders
- SP News And Widget
- Styles for WP PageNavi – Addon
- Ticker Ultimate
- Timeline and History Slider
- Woo Product Slider and Carousel with Category
- WP Blog and Widgets
- WP Featured Content and Slider
- WP Logo Showcase Responsive Slider and Carousel
- WP Responsive Recent Post Slider
- WP Slick Slider and Image Carousel
- WP Team Showcase and Slider
- WP Testimonial with Widget
- WP Trending Post Slider and Widget
Das ist nicht das erste Mal
2017 hat ein Käufer unter dem Alias „Daley Tias” das Plugin Display Widgets (200.000 Installationen) für 15.000 Dollar gekauft und Payday-Loan-Spam injiziert. Danach hat dieselbe Person mindestens 9 weitere Plugins auf die gleiche Weise kompromittiert.
Das Muster ist identisch: Plugin kaufen, Vertrauen erben, Schadcode nachladen. Und es funktioniert jedes Mal, weil WordPress.org keinen Mechanismus hat, um Plugin-Besitzerwechsel zu prüfen oder Nutzer darüber zu informieren.
Kein „Change of Control”-Hinweis. Keine Review. Nichts.
Warum das ein strukturelles Problem ist
Das hier ist kein Bug, den man patchen kann. Es ist ein Architekturproblem:
- WordPress-Seiten sind Plugin-Abhängig. Ein durchschnittliches WordPress-Setup hat 20–40 Plugins. Jedes Plugin ist ein Angriffsvektor — nicht nur technisch, sondern auch wirtschaftlich (jemand kann es einfach kaufen).
- Kein Audit bei Besitzerwechsel. WordPress.org prüft nicht, wer ein Plugin übernimmt. Der neue Besitzer erbt das Vertrauen von Hunderttausenden Installationen.
- Auto-Updates verbreiten den Schadcode. Genau der Mechanismus, der eigentlich Sicherheit bringen soll, wird zum Verbreitungskanal.
- Admin-Sichtbarkeit ist null. Wenn der Angriff nur den Googlebot trifft, merkst du es erst, wenn deine Rankings einbrechen — oder wenn deine Domain auf einer Spam-Blacklist steht.
Was du tun kannst
Kurzfristig: Prüf die Liste oben. Wenn du eines dieser Plugins nutzt, update sofort auf die gepatchte Version und lass deine wp-config.php prüfen. Schau, ob die Dateigröße auffällig gewachsen ist.
Mittelfristig: Reduzier die Anzahl deiner Plugins auf das absolute Minimum. Jedes Plugin, das du nicht brauchst, ist eine Angriffsfläche weniger.
Langfristig: Frag dich, ob du wirklich ein System brauchst, das auf 30 Third-Party-Plugins angewiesen ist, um eine Website darzustellen. Eine statische Seite hat keine Plugins, keine Datenbank, keinen Admin-Login — und damit null Angriffsfläche.
Du willst raus aus WordPress? WordPress-Escape — Festpreis, 14 Tage, deine Seite ohne Plugin-Risiko. Oder check erstmal, wie es um deine Seite steht.
Quelle: anchor.host — ausführliche technische Analyse mit Forensik-Details und Timeline.
Kommentare