MalwareSchwachstellenHackerangriffe

WordPress-Plugin-Suite kompromittiert: Malware verteilt sich an tausende Websites

WordPress-Plugin-Suite kompromittiert: Malware verteilt sich an tausende Websites
Zusammenfassung

Ein massiver Sicherheitsvorfall bedroht tausende WordPress-Websites weltweit: Mehr als 30 Plugins der EssentialPlugin-Suite wurden mit Malware infiziert, die unbefugten Zugriff auf betroffene Seiten ermöglicht. Die Kompromittierung erfolgte bereits im August 2025, nachdem das Unternehmen von einem neuen Eigentümer übernommen wurde, blieb aber monatelang inaktiv, bis der Angreifer kürzlich begann, das Schadcode-Update auszurollen. Die betroffenen Plugins verfügen über hundertausende aktive Installationen und werden zur Generierung von Spam-Seiten sowie unerwünschten Weiterleitungen missbraucht. Der Backdoor arbeitet mit raffinierter Technik: Die Malware tarnt sich vor Website-Besitzern und zeigt manipulierte Inhalte nur dem Google-Bot, während sie über Ethereum-basierte Command-and-Control-Server gesteuert wird. Obwohl WordPress.org schnell reagierte und ein erzwungenes Update bereitstellte, warnen die Entwickler, dass die Kernkonfigurationsdatei wp-config.php möglicherweise nicht bereinigt wurde. Für deutsche Nutzer und Unternehmen mit WordPress-Installationen bedeutet dies: Eine sofortige Überprüfung aller eingesetzten EssentialPlugins ist erforderlich, ebenso wie eine manuelle Überprüfung kritischer Konfigurationsdateien und eventuell eine forensische Analyse potenzieller Datenbankzugriffe.

Das EssentialPlugin-Paket, ursprünglich 2015 als WP Online Support gegründet und 2021 umbenannt, ist in der WordPress-Community weit verbreitet. Das Unternehmen bot eine breite Palette von Plugins für Schieberegler, Galerien, Marketing-Tools und E-Commerce-Lösungen an. Nach einer Übernahme durch einen neuen Eigentümer im August 2025 verschaffte sich ein Angreifer unbefugten Zugang und pflanzte systematisch Backdoor-Code in alle Plugins des Pakets ein.

Die Malware blieb monatelang inaktiv, bis sie kürzlich aktiviert wurde und ihre zerstörerische Wirkung entfaltete. Das System verbirgt sich hinter einer raffinierten Verschleierungstechnik: Es lädt eine Datei namens ‘wp-comments-posts.php’ (ähnlich dem legitimen ‘wp-comments-post.php’) herunter, die dann in die zentrale Konfigurationsdatei wp-config.php injiziert wird. Dies war ein bewusster Trick, um die Erkennung zu erschweren.

Partikular beunruhigend ist die Unsichtbarkeit für Website-Besitzer. Die Malware zeigt ihre schädlichen Inhalte – Spam-Links, Weiterleitungen und gefälschte Seiten – nur dem Googlebot-Crawler, nicht aber echten Besuchern. Dies ermöglicht es den Angreifern, Suchmaschinen-Rankings zu manipulieren und Betrug zu begehen, ohne dass Administratoren es bemerken. Die Malware nutzt ein Ethereum-basiertes Command-and-Control-System zur Evadierung, was moderne Erkennungsmethoden erschwert.

WordPress.org reagierte mit Sofortmaßnahmen: Die betroffenen Plugins wurden aus dem Repository entfernt und erzwungene Updates wurden verteilt, um die Backdoor-Kommunikation zu unterbrechen. Allerdings warnte das WordPress-Sicherheitsteam explizit: Das erzwungene Update bereinigt nicht die infizierte wp-config.php-Datei. Website-Administratoren müssen diese Datei manuell überprüfen und bereinigen.

Sicherheitsanalysten von PatchStack enthüllten zusätzliche Details: Das Backdoor-System war an den Endpoint ‘analytics.essentialplugin.com’ gebunden. Nur wenn dieser Server manipulierte serialisierte Inhalte zurückgab, würde die Malware aktiv werden.

Für deutsche WordPress-Betreiber bedeutet dies eine dringende Handlung: Sofortige Überprüfung aller genutzten EssentialPlugin-Produkte, Installation erzwungener Updates und manuelle Überprüfung der wp-config.php-Datei sind essentiell. Das Incident zeigt einmal mehr die Risiken von Plugin-Abhängigkeiten und unterstreicht die Notwendigkeit robuster Sicherheitsüberwachung.

Ähnliche Artikel