Ein mutmaßlich gezielter Angriff erschüttert derzeit die WordPress-Community: Nach dem Kauf eines Unternehmens mit mehr als 30 Plug-ins soll ein neuer Besitzer Schadcode in zahlreiche Erweiterungen eingebaut haben. Sicherheitsforscher warnen vor einer massiven Gefährdung von Webseiten weltweit.
Übernahme mit verstecktem Ziel
Wie der Hoster Anchor berichtet, wurden die betroffenen Plug-ins ursprünglich von einem Entwicklerteam aus Indien erstellt. Aufgrund sinkender Einnahmen verkaufte das Team Anfang 2025 seine Firma Essential Plugin über die Handelsplattform Flippa.
Ein Käufer mit dem Namen Kris soll das Unternehmen inklusive Plug-ins für einen sechsstelligen Betrag übernommen haben. Öffentlich erklärte er damals, man wolle „Assets, Traffic und den guten Ruf“ des Unternehmens erwerben.
Nur wenige Wochen nach der Übernahme soll laut Sicherheitsanalysen der eigentliche Plan sichtbar geworden sein. Im August 2025 seien unbemerkt Funktionen in mehrere Plug-ins eingebaut worden, die externen Code von fremden Servern nachladen und auf Webseiten ausführen konnten.
Besonders brisant: In den offiziellen Änderungsprotokollen war lediglich von technischen Anpassungen an WordPress 6.8.2 die Rede. Hinweise auf sicherheitsrelevante Änderungen fehlten vollständig.
Mehr als 400.000 Installationen betroffen: Betreiber sollten sofort prüfen
Die Schadfunktion blieb offenbar monatelang verborgen. Erst Anfang April 2026 bemerkten Experten verdächtige Aktivitäten. Zu diesem Zeitpunkt waren die Erweiterungen laut Angaben zusammen auf mehr als 400.000 aktiven Webseiten installiert.
Insgesamt sollen 31 Plug-ins betroffen gewesen sein. Nach Bekanntwerden des Vorfalls wurden die Erweiterungen am 7. April 2026 aus dem offiziellen Plug-in-Verzeichnis entfernt und per Update entschärft. Aktuell sind keine Produkte von Essential Plugin mehr in der offiziellen Datenbank auffindbar.
Wer eine Webseite mit WordPress betreibt, sollte umgehend kontrollieren, ob eines der betroffenen Plug-ins installiert ist. Sicherheitsexperten raten dazu, verdächtige Erweiterungen sofort zu aktualisieren, zu ersetzen oder vollständig zu entfernen.
Altes Problem im WordPress-Ökosystem: Vertrauen als Schwachstelle
Der Fall ist offenbar kein Einzelfall. Bereits 2017 wurde das Plug-in Display Widgets nach einem Verkauf manipuliert. Damals wurden Spam-Funktionen eingeschleust, nachdem die Erweiterung rund 200.000 aktive Installationen erreicht hatte.
Kritiker sehen deshalb ein strukturelles Problem: Nutzer würden beim Eigentümerwechsel eines Plug-ins nicht automatisch informiert. Zudem gebe es bislang keine verpflichtende Sonderprüfung des Quellcodes, wenn ein neuer Entwickler die Kontrolle übernimmt.
Der aktuelle Fall zeigt erneut, dass nicht nur technische Sicherheitslücken gefährlich sind, sondern auch wirtschaftliche Übernahmen. In einem System, das auf Vertrauen basiert, kann bereits ein Besitzerwechsel zur Gefahr für Hunderttausende Webseiten werden.
Schreiben Sie einen Kommentar