Die niederländischen Sicherheitsforscher von Sansec haben einen Supply-Chain-Angriff aufgedeckt, der über mehrere populäre WordPress-Plugins des US-Herstellers Awesome Motive Schadcode an WordPress-Installationen ausgeliefert hat. Betroffen sind OptinMonster, TrustPulse und PushEngage. Zusammen kommen die drei Plugins laut Sansec auf über 1,2 Millionen aktive Installationen, der größte Anteil davon entfällt auf das E-Mail-Marketing-Tool OptinMonster.
Das Muster ist inzwischen leider bekannt: Angreifer schleusen Schadcode nicht direkt in eine einzelne Webseite ein, sondern in die Verteilkette von weit verbreiteten Plugins. Damit bekommen sie auf einen Schlag Zugriff auf Hunderttausende von Installationen, ohne diese einzeln kompromittieren zu müssen.
Ablauf des Angriffs
Der Schadcode wurde laut Sansec in Form von JavaScript-Dateien über verschiedene CDN-Endpunkte von Awesome Motive nachgeladen. Aktiv wird die Malware erst, wenn sich auf der betroffenen WordPress-Installation jemand mit einem Administrator-Konto anmeldet. Erst dann legt sie heimlich einen zusätzlichen Admin-Account für den Angreifer an und installiert ein verstecktes Plugin, das als dauerhafte Backdoor dient.
Das Backdoor-Plugin taucht in keiner Plugin-Liste des WordPress-Backends auf und tarnt sich mit unverdächtigen Namen wie „Content Delivery Helper“ oder „Database Optimizer“. Die Zugangsdaten des neu angelegten Accounts sowie Informationen über das infiltrierte System werden anschließend XOR-verschlüsselt, base64-kodiert und an eine unter tidio.cc gehostete Infrastruktur übermittelt.
Prüfschritte für Betreiber der betroffenen Plugins
Sansec hat in ihrem Blogbeitrag Indikatoren für eine erfolgreiche Kompromittierung veröffentlicht. Ein deutliches Warnsignal sind unerwartet angelegte Benutzerkonten, insbesondere mit dem Namen developer_api1 und der Mailadresse customer1usx@gmail.com oder Konten nach dem Schema dev_xxxxxx mit zugehöriger gmail.com-Adresse.
Wer eines der genannten Plugins einsetzt, sollte folgende Schritte durchgehen:
- Benutzerliste auf unbekannte Administrator-Accounts prüfen
- Aktive und inaktive Plugins auf verdächtige Einträge wie „Content Delivery Helper“ oder „Database Optimizer“ untersuchen, auch direkt im Dateisystem unter
wp-content/plugins/ - Webserver-Logs auf ausgehende Verbindungen zu tidio.cc kontrollieren
- Bei Auffälligkeiten alle Administrator-Passwörter ändern, Secret Keys in
wp-config.phpneu setzen und im Zweifel auf ein sauberes Backup aus der Zeit vor der Kompromittierung zurückgreifen
Awesome Motive entwickelt darüber hinaus weitere stark verbreitete Plugins, darunter WPForms mit über 5 Millionen, All in One SEO mit über 3 Millionen und MonsterInsights mit über 2 Millionen Installationen. Sansec konnte bei diesen bisher keine Kompromittierung feststellen, mahnt aber dennoch zur Vorsicht. Eine Reaktion von Awesome Motive auf die Meldung der Sicherheitsforscher steht laut Sansec bisher aus, die betroffenen Plugins sollen jedoch zwischenzeitlich bereinigt worden sein.
Das Plugin-Ökosystem bleibt strukturell verwundbar
Es ist nicht der erste Supply-Chain-Angriff dieser Art, und es wird auch nicht der letzte sein. Im April dieses Jahres hatte WordPress.org 31 Plugins gesperrt, nachdem Angreifer Plugins mit bestehender Installationsbasis aufgekauft und über die regulären Update-Mechanismen Schadcode verteilt hatten. Das aktuelle Szenario ist eine andere Variante des gleichen Problems: Sobald ein Anbieter mit großer Reichweite kompromittiert wird, sei es über gehackte Build-Server, einen übernommenen CDN-Account oder gestohlene Entwickler-Credentials, ist die Reichweite des Angriffs sofort enorm.
Dass Awesome Motive sich hier so bedeckt hält, ist allerdings in hohem Maße unschön – vorsichtig ausgedrückt.
Die Empfehlung bleibt die gleiche, die ich auch unseren Kunden gebe: Plugins regelmäßig auf das tatsächlich Nötige reduzieren, Updates nicht blind und sofort, sondern mit einem zeitlichen Versatz einspielen und idealerweise einen Staging-Server vorschalten, ein zuverlässiges Backup-Schema fahren, und ein File-Integrity-Monitoring oder zumindest eine Sicherheits-Lösung wie Wordfence oder Patchstack einsetzen, die unerwartete Änderungen im Dateisystem meldet. Wer Wert auf einen sauber gepflegten und überwachten WordPress-Betrieb legt: Wir helfen gern dabei.
Quellen: Golem.de, Marc Stöckel, 15. Juni 2026; Sansec-Blogbeitrag