Ich weiß schon warum ich dazu übergegangen bin mir a) fast nur noch WordPress eigene Funktionen zu verwenden und b) mir meine Plugins (und oft sind es nur Kleingkeiten) selbst zu schreiben.
Wie anchor berichtet sind mindestens 30 WordPress Plugins kompromittiert worden und beinhalten seit kurzem Malware. Das ist einmal mehr eine sehr perfide Supply Chain Attack:
Was ist passiert?
Ein Käufer namens Kris erwarb das Plugin-Portfolio des Entwicklers Minesh Shah über die Plattform Flippa – 30 und mehr kostenlose Plugins plus Premium-Versionen, das Minesh nach einem Umsatzrückgang zum Verkauf angeboten hatte. Der Kaufpreis lag im sechsstelligen Bereich.
Bereits beim allerersten Commit nach der Übernahme pflanzte der neue Eigentümer die Backdoor ein – konkret ein unserialize() Remote Code Execution (RCE)-Modul namens wpos-analytics, das betroffene Sites mit einem zentralen Endpoint analytics.essentialplugin.com kommunizieren ließ.
Das Problem dabei: WordPress.org, das als hauseigener Marktplatz für die Plugins gilt, hat keinerlei Mechanismen, um Plugin-Eigentumsübertragungen zu kennzeichnen oder zu überprüfen. Es gibt keine „Change of Control“-Benachrichtigung für Nutzer, kein zusätzliches Code-Review bei einem neuen Committer.
Zwischen dem Einpflanzen der Backdoor und ihrer Entdeckung vergingen 8 Monate. Erst am 7. April 2026 schloss das WordPress.org Plugins+Team alle betroffenen Plugins – mindestens 30 – dauerhaft. Der Fix war allerdings nur ein Pflaster: WordPress.org fügte return;-Statements ein, um die Phone-Home-Funktion zu deaktivieren, der Backdoor-Code selbst blieb aber im Code.
Und jetzt?
Wer von euch eine Seite mit WordPress betreibt, sollte prüfen, ob eines der betroffenen Plugins installiert ist und diese entweder entfernen oder durch saubere Versionen ersetzen. Bei anchor gibt es eine erste Liste der betroffenen Plugins
Schreibe einen Kommentar