WordPress-Krise: Supply-Chain-Angriff infiziert tausende Websites

Angreifer nutzten die Übernahme eines Plugin-Entwicklers, um heimlich Backdoors in über 30 vertrauenswürdige Erweiterungen einzuschleusen. Das offizielle Verzeichnis deaktivierte daraufhin zahlreiche betroffene Plugins.

Die Attacke zeigt eine neue Qualität der Bedrohung: Statt Schwachstellen auszunutzen, unterwandern Kriminelle gezielt die Vertrauenskette zwischen Entwicklern und Nutzern.

Während professionelle Hacker gezielt Infrastrukturen unterwandern, geraten auch private Endgeräte immer häufiger ins Visier von Cyberkriminellen. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Smartphone effektiv gegen Viren und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Strategische Firmenübernahme als Einfallstor

Hinter der Angriffswelle steckt die Übernahme des indischen Entwicklerteams Essential Plugin. Das Unternehmen, früher als WP Online Support bekannt, wurde bereits im Frühjahr 2025 über den Marktplatz Flippa für einen sechsstelligen Betrag verkauft. Der Gründer Minesh Shah hatte sich aufgrund rückläufiger Umsätze nach der Pandemie zum Verkauf entschieden.

Der neue Eigentümer, ein mit SEO und Kryptowährungen vertrauter Akteur, begann laut Analysen im August 2025 mit der Manipulation der Software. Ein Backdoor-Mechanismus blieb fast acht Monate inaktiv – eine Taktik, um Vertrauen aufzubauen und die Schadsoftware tief zu verbreiten. Die aktive Ausnutzung startete erst Anfang April.

Branchenbeobachter kritisieren das Fehlen von Kontrollen bei Inhaberwechseln im WordPress-Verzeichnis. Solche Lücken begünstigen Angriffe erheblich.

Blockchain-gesteuerte Malware tarnt sich geschickt

Die Schadsoftware offenbart technische Raffinesse. Das bösartige Modul tarnte sich als legitime Analytics-Komponente. Nach der Aktivierung lud es eine Datei namens „wp-comments-posts.php“ nach – ein Name, der bewusst an eine harmlose Systemdatei angelehnt war. Diese Komponente injizierte PHP-Blöcke in die zentrale Konfigurationsdatei „wp-config.php“.

Besonders bemerkenswert: Die Malware kommuniziert über Smart Contracts auf der Ethereum-Blockchain mit ihren Steuerungs-Servern. Sie fragt öffentliche Blockchain-Endpunkte ab, um die aktuelle Domain der Angreifer zu ermitteln. Herkömmliche Takedown-Maßnahmen sind damit wirkungslos, da die Infrastruktur jederzeit neu ausgerichtet werden kann.

Die Backdoor manipuliert derzeit die Suchmaschinenoptimierung infizierter Websites. Sie mischt Spam-Content bei, der nur für Suchmaschinen-Crawler wie den Googlebot sichtbar ist. Reguläre Besucher bemerken nichts, während die Domain-Reputation für Spam-Links missbraucht wird.

Ein Zwangs-Update von WordPress.org am 7. April neutralisierte den Nachlademechanismus. Den bereits injizierten Code in den Konfigurationsdateien konnte es jedoch nicht entfernen.

Kritische Lücken in Membership- und Formular-Plugins

Parallel zur Supply-Chain-Attacke wurden in den letzten 72 Stunden weitere kritische Sicherheitslücken bekannt. Im Fokus steht die Schwachstelle CVE-2026-1492 im Plugin „User Registration & Membership“. Mit einem Schweregrad von 9,8 wird sie als kritisch eingestuft.

Die zunehmende Professionalisierung von Hackern erfordert ein Umdenken bei der Absicherung digitaler Identitäten und Konten. Erfahren Sie in diesem kostenlosen Experten-Report, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, WhatsApp und Co. ohne unsichere Passwörter schützen. Kostenlosen Passkey-Report jetzt herunterladen

Sicherheitsforscher von CYFIRMA berichten, dass die Lücke auf einer fehlerhaften Validierung von Sicherheitstokens basiert. Nicht authentifizierte Angreifer können diese Tokens extrahieren und damit administrative Benutzerkonten erstellen. Das Risiko einer vollständigen Übernahme betroffener Plattformen gilt als extrem hoch.

Zusätzlich wurde die Schwachstelle CVE-2026-0740 im Plugin „Ninja Forms File Upload“ bekannt. Angreifer nutzen unzureichend gesicherte Upload-Funktionen aus, um bösartige Dateien auf Server zu schleusen. Berichten zufolge finden bereits aktive Ausnutzungsversuche statt.

Professionelle Angreifer setzen auf neue Taktiken

Die aktuelle Häufung von Vorfällen zeigt eine strukturelle Schwäche im Management von Drittanbieter-Erweiterungen. Während WordPress-Core-Updates strengen Prüfungen unterliegen, bleibt das Plugin-Ökosystem eine hinterogene Landschaft mit unterschiedlichen Sicherheitsstandards.

Die Professionalisierung der Angreifer markiert einen Wendepunkt. Sie setzen Kapital ein, um etablierte Softwarelösungen zu erwerben – und untergraben so das fundamentale Vertrauen in Open-Source-Lieferketten.

Statistiken zeigen: Im vergangenen Jahr wurden mehrere tausend neue Schwachstellen im WordPress-Umfeld gemeldet. Über 95 Prozent entfielen auf Plugins und Themes. Automatisierte Angriffstools sorgen dafür, dass neue Exploits oft innerhalb von Stunden gegen ungepatchte Systeme eingesetzt werden.

Was Administratoren jetzt tun müssen

Sicherheitsexperten raten zu einer sofortigen Überprüfung. Herkömmliche Updates reichten im Fall der Essential-Plugin-Backdoor nicht aus. Erforderlich ist eine manuelle Prüfung der Kerndateien sowie ein vollständiger Scan auf unautorisierte PHP-Dateien im Verzeichnis „wp-content/uploads“.

Zu den am stärksten betroffenen Erweiterungen gehören „Countdown Timer Ultimate“, „Portfolio and Projects“ und „WP Slick Slider and Image Carousel“.

Branchenvertreter fordern nun strengere Regeln für das Plugin-Repository. Diskutiert werden obligatorische Sicherheitsprüfungen bei Besitzerwechseln. Bis dahin bleibt Website-Betreibern nur die eigene Sorgfaltspflicht: Experten empfehlen, Plugins auf ein Minimum zu reduzieren und bei Erweiterungen mit unklarer Inhaberschaft besondere Vorsicht walten zu lassen.

Die Verteidigung muss sich anpassen. Angesichts blockchain-basierter Angriffsinfrastrukturen werden verhaltensbasierte Analysen und die Überwachung von Netzwerkverkehr zu öffentlichen RPC-Endpunkten immer wichtiger. Die Krise stellt das Vertrauen in die Lieferkette von Open-Source-Software erneut auf die Probe.

de | boerse | 69152930 |