Das Ausmaß der Kompromittierung ist beträchtlich. Der Sicherheitsforscher Austin Ginder dokumentierte, dass die offiziellen Plugin-Versionen 5.2.1 und 5.2.2, die zwischen 2020 und 2021 veröffentlicht wurden, einen versteckten Self-Update-Mechanismus enthielten. Dieser war auf die externe Domain anadnet[.]com ausgerichtet und ermöglichte es Angreifern, beliebigen Code außerhalb von WordPress.orgs Kontrolle einzuschleusen.
Besonders tückisch: Im Februar 2021 entfernten die Betreiber den bösartigen Self-Updater zwar aus nachfolgenden Versionen auf WordPress.org, doch zu spät. Im März 2021 erhielten Seiten, auf denen die anfälligen Versionen 5.2.1 und 5.2.2 laufen, eine manipulierte 5.2.3-Version direkt vom externen Server – inklusive einer passiven Hintertür. Diese Hintertür war geschickt konzipiert: Sie aktivierte sich nur für nicht angemeldete Nutzer, um ihre Präsenz vor Website-Administratoren zu verbergen.
Die Hintertür wurde für SEO-Spam missbraucht. Ginder erklärt: „Das Mechanismus war versteckte Parasite-SEO. Das Plugin vermietete Google-Rankings auf 70.000 Websites an die Betreiber des Hintergrundsystems.” Doch die eigentliche Gefahr liegt im Update-Mechanismus selbst: Er ermöglicht beliebige Code-Ausführung auf Abruf. Obwohl dieser Mechanismus auf betroffenen Seiten noch vorhanden ist, bleibt er derzeit “ruhig”, weil die Kommando-Server nicht erreichbar sind – doch die Domain ist aktiv.
Für betroffene Nutzer besteht dringende Handlungsbedarf. Das Plugin sollte vollständig deinstalliert und durch eine saubere Version 5.2.4 von WordPress.org ersetzt werden. Ginder appelliert an die Angreifer, einen statischen Update-Manifest zu veröffentlichen, der alle 70.000 betroffenen Installationen automatisch auf die sichere WordPress.org-Version aktualisiert. Solange dies nicht geschieht, bleiben zehntausende Websites anfällig für Angriffe.