Das WordPress-Plugin-Ökosystem hat ein strukturelles Vertrauensproblem. Wer ein Plugin-Repository mit einer etablierten Installationsbasis kauft, bekommt automatisch die SVN-Commit-Zugriffsrechte auf WordPress.org dazu – und damit die Möglichkeit, Schadcode an Hunderttausende von Websites auszuliefern, ohne dass jemand Alarm schlägt (weil es in den meisten Fällen auch niemand sofort merkt).
Genau das ist Anfang April 2026 passiert. Diesmal nicht mit einem Plugin, sondern mit über dreißig auf einmal.
Die Ausgangslage
Das Unternehmen „Essential Plugin“, vormals „WP Online Support“, wurde um 2015 von einem indischen Entwicklerteam gegründet und hatte über die Jahre ein Portfolio von mehr als 30 kostenlosen WordPress-Plugins mit optionalen Premium-Versionen aufgebaut. Ende 2024 gingen die Umsätze um 35 bis 45 Prozent zurück; der ursprüngliche Eigentümer stellte das gesamte Unternehmen auf der Plugin-Handelsplattform Flippa zum Verkauf. Ein Käufer namens „Kris“, mit Hintergrund in SEO, Kryptowährungen und Online-Glücksspiel-Marketing, erwarb das Portfolio für einen sechsstelligen Betrag. Flippa veröffentlichte dazu im Juli 2025 sogar eine Case-Study.
Der erste SVN-Commit des neuen Eigentümers war der Schadcode.
Was technisch passiert ist
Am 8. August 2025 erschien für das Plugin „Countdown Timer Ultimate“ die Version 2.6.7. Der Changelog vermerkte: „Check compatibility with WordPress version 6.8.2.“ Tatsächlich wurden dabei 191 Zeilen Code hinzugefügt, die ein gravierendes Sicherheitsproblem einführten: PHP-Deserialisierung mit beliebiger Funktionsausführung über einen nicht authentifizierten REST-API-Endpunkt. Der angreifende Server kontrollierte vollständig Funktionsname und Argumente.
Der Schadcode saß acht Monate lang unbemerkt im Code, bevor er am 5. und 6. April 2026 aktiviert wurde.
Beim Aktivieren lud ein Modul namens wpos-analytics eine Datei namens wp-comments-posts.php von analytics.essentialplugin.com herunter – absichtlich ähnlich benannt wie die echte WordPress-Kerndatei wp-comments-post.php – und injizierte damit einen rund 6 Kilobyte großen PHP-Block in die wp-config.php. Dieser Code holte SEO-Spam, Weiterleitungen und gefälschte Seiten von einem Command-and-Control-Server, aber ausschließlich für den Googlebot. Für Website-Betreiber°Innen war nichts zu sehen.
Besonders perfide: Der C2-Server wurde nicht über eine gewöhnliche Domain aufgelöst, sondern über einen Ethereum-Smart-Contract, der auf öffentlichen Blockchain-RPC-Endpunkten abgefragt wurde. Traditionelle Domain-Takedowns hätten schlicht nicht funktioniert – der Angreifer hätte lediglich den Smart-Contract aktualisieren müssen.
Das Ausmaß
Am 7. April 2026 sperrte das WordPress.org-Plugins-Team sämtliche 31 Plugins des „essentialplugin“-Accounts dauerhaft – alles an einem einzigen Tag. Am 8. April folgte ein erzwungenes Auto-Update auf Version 2.6.9.1, das die Phone-home-Funktionen durch eingefügte return;-Anweisungen neutralisierte. Was das Update nicht tat: die wp-config.php bereinigen. Wer zu diesem Zeitpunkt bereits kompromittiert war, hatte weiterhin aktiven SEO-Spam auf seiner Website.
Das ist kein Einzelfall. 2017 kaufte ein Angreifer unter dem Alias „Daley Tias“ das Plugin „Display Widgets“ mit 200.000 Installationen für 15.000 Dollar, injizierte Payday-Loan-Spam und kompromittierte anschließend mindestens neun weitere Plugins auf dieselbe Weise. Das Vorgehen ist identisch, der Maßstab wächst. Problematisch ist vor alle, dass Automattic, die Firma hinter WordPress, nicht mehr unternimmt, um solche Probleme frühzeitig abzufangen.
Betroffene Plugins
Die folgenden Plugins wurden am 7. April 2026 dauerhaft von WordPress.org gesperrt:
- Accordion and Accordion Slider
- Album and Image Gallery Plus Lightbox
- Audio Player with Playlist Ultimate
- Blog Designer for Post and Widget
- Countdown Timer Ultimate
- Featured Post Creative
- Footer Mega Grid Columns
- Hero Banner Ultimate
- HTML5 VideoGallery Plus Player
- Meta Slider and Carousel with Lightbox
- Popup Anything on Click
- Portfolio and Projects
- Post Category Image with Grid and Slider
- Post Grid and Filter Ultimate
- Preloader for Website
- Product Categories Designs for WooCommerce
- Responsive WP FAQ with Category
- SlidersPack – All in One Image Sliders
- SP News And Widget
- Styles for WP PageNavi – Addon
- Ticker Ultimate
- Timeline and History Slider
- Woo Product Slider and Carousel with Category
- WP Blog and Widgets
- WP Featured Content and Slider
- WP Logo Showcase Responsive Slider and Carousel
- WP Responsive Recent Post Slider
- WP Slick Slider and Image Carousel
- WP Team Showcase and Slider
- WP Testimonial with Widget
- WP Trending Post Slider and Widget
Das eigentliche Problem ist: Automattic
WordPress.org hat keinen Mechanismus, um Plugin-Eigentümerwechsel zu flaggen oder zu überprüfen. Es gibt keine Benachrichtigung an Nutzer°Innen bei einem Kontrollwechsel, keine automatische Code-Überprüfung bei einem neuen Committer. Der Hintergrund des Käufers – also SEO, Krypto, Online-Glücksspiel – war auf Flippa öffentlich einsehbar. Das Plugin-Portfolio war öffentlich gelistet. Die Akquisition lief trotzdem vollständig ohne jede Prüfung durch und noch schlimmer: auch die Commits.
Das WordPress-Plugins-Team reagierte schnell, als der Angriff entdeckt wurde. Zwischen dem Einschleusen des Schadcodes und seiner Entdeckung lagen allerdings acht Monate … Und dieses Problem existiert seit vielen Jahren, ohne dass man bei Automattic ernsthaft etwas dagegen unternimmt.
Was zu tun ist
Wer eines der betroffenen Plugins auf einer WordPress-Installation betreibt, sollte es entweder entfernen oder durch eine bereinigte Version ersetzen, bei der das gesamte wpos-analytics-Verzeichnis gelöscht wurde. Das erzwungene Auto-Update ist kein vollständiger Fix. Außerdem sollte die wp-config.php auf unerwartete Größenzunahmen geprüft werden – Der injizierte Block hängt sich unmittelbar an die Zeile
require_once ABSPATH . 'wp-settings.php';und fügt rund 6 Kilobyte direkt dahinter ein. In einer kompromittierten Datei sieht diese Stelle ungefähr so aus:
require_once ABSPATH . 'wp-settings.php'; if(!function_exists('wpos_get_domain')){function wpos_get_domain(){
// [mehrere Kilobyte stark verschleierter PHP-Code]Alles nach der require_once-Zeile, das nicht zum ursprünglichen WordPress-Setup gehört, ist der injizierte Block und muss vollständig entfernt werden.
Wir betreuen WordPress-Installationen und sorgen für Sicherheitsupdates – mehr unter WordPress-Dienstleistungen.
Quellen:
Austin Ginder: „Someone Bought 30 WordPress Plugins and Planted a Backdoor in All of Them“, 9. April 2026, https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/
Wordfence: „Three Plugins Backdoored in Supply Chain Attack“, 27. Dezember 2017, https://wordfence.com/blog/2017/12/plugin-backdoor-supply-chain/