maintenance

Noch auf WordPress? Was der 30-Plugin-Hintertür-Angriff für deine Firmenwebsite bedeutet

Jemand hat 30 WordPress-Plugins gekauft, acht Monate gewartet und sie in Hintertüren auf hunderttausenden Firmenwebsites verwandelt. Was das bedeutet, wenn deine Website noch auf WordPress läuft.

Markdown-Version öffnen

Anfang 2025 hat jemand auf Flippa eine sechsstellige Summe für 30 WordPress-Plugins bezahlt. Ganz normale Plugins. WP Testimonial, WP Team Showcase, Countdown Timer Ultimate, WP FAQ. Kleine Helferlein, die auf hunderttausenden Firmenwebsites laufen, meist vor Jahren installiert und dann vergessen.

Dann wurde eine Hintertür eingebaut und acht Monate gewartet. Am 5. April 2026 wurde sie aktiviert. Wer WordPress nutzt und eines dieser Plugins installiert hatte, dessen Website hat rund 48 Stunden lang Spam an Google ausgeliefert, bevor WordPress.org die Notbremse gezogen hat.

Was der Angriff tatsächlich gemacht hat

Die kompromittierten Plugins haben leise eine Datei namens wp-comments-posts.php heruntergeladen. Einen einzigen Buchstaben entfernt von einer echten WordPress-Kerndatei (wp-comments-post.php). Das war der einzige visuelle Hinweis.

Die Hintertür hat dann Code in die wp-config.php geschrieben. Das ist die Datei, in der deine Datenbank-Zugangsdaten und die Schlüssel zu deiner gesamten Website liegen. Von dort hat sie SEO-Spam von einem Command-Server geladen und versteckte Links, Weiterleitungen und Fake-Seiten in deine Website eingeschleust. Nur der Googlebot hat den Spam gesehen. Du, im Admin-Bereich eingeloggt, hättest nichts bemerkt.

Das Ziel war Black-Hat-SEO. Die Reputation deiner Website bei Google wird genutzt, um Casino, Pharma oder was auch immer die Käuferschaft des Spams verkaufen will, nach oben zu bringen. Wenn Google es merkt, brechen deine Rankings ein. Die Rückkehr dauert Wochen.

WordPress.org hat am 7. April ein erzwungenes Update ausgerollt, das die Kommunikation der Hintertür gekappt hat. Aber das Update hat die wp-config.php nicht bereinigt. Wer betroffen war, hat weiterhin schädlichen Code in der sensibelsten Datei auf dem Server, und das Entfernen erfordert eine manuelle Prüfung, die kein Plugin übernehmen kann.

Warum das immer wieder passiert

Die meiste Berichterstattung hat den Angriff als raffiniert dargestellt. Das war er nicht. Das war das WordPress-Plugin-Ökosystem, das genau so funktioniert hat, wie es konstruiert ist, bedient von jemandem mit den falschen Absichten.

Plugins werden von Fremden geschrieben. Sie werden verkauft. Eigentümerwechsel sind für dich unsichtbar. Wenn ein Plugin, das du 2022 installiert hast, 2025 den Besitzer wechselt, sagt dir niemand Bescheid. Das nächste automatische Update schiebt, was auch immer die neue Person ausliefert, direkt auf deine Live-Website, mit vollem Schreibzugriff auf deine Datenbank.

Das ist das Modell. Es funktioniert, weil die meisten Plugin-Entwickelnden ehrlich sind. Es bricht in dem Moment, in dem eine Person es nicht ist oder an jemanden verkauft, der es nicht ist. Du merkst es erst, wenn deine Rankings sinken oder Kundschaft fragt, warum deine Website auf eine Online-Apotheke weiterleitet.

Dieser Angreifer hat sogar das Takedown-Problem gelöst. Der Command-Server wurde über einen Ethereum-Smart-Contract statt über eine normale Domain aufgerufen, damit Behörden ihn nicht beschlagnahmen können. Wenn WordPress.org nicht innerhalb von 48 Stunden gehandelt hätte, wäre der Spam weitergeflossen.

Warum wir nicht auf WordPress bauen

Wir haben uns diesen Zielkonflikt angeschaut, bevor wir die erste Kundenwebsite gebaut haben. WordPress hat echte Stärken. Aber die Standardantwort auf die Frage “wer darf Code auf deine Live-Website schieben” lautet “ein rotierendes Ensemble von Mitwirkenden, denen du nie begegnet bist”. Für eine Firmenwebsite, bei der ein kaputtes Formular oder eine blockierte Domain täglich Leads kostet, ist das kein akzeptables Risikomodell.

Essential-Web-Websites laufen auf einem Stack, bei dem jedes Stück Code explizit, überprüft und versionsfixiert ist. Updates gehen über uns, nicht über das GitHub einer dritten Partei. Es gibt keinen Plugin-Marktplatz. Keine automatisch installierten Abhängigkeiten von unbekannten Mitwirkenden. Wenn sich auf deiner Website etwas ändert, haben wir die Änderung geschrieben.

Das bedeutet weniger Flexibilität, wenn du zwanzig Funktionen dranschrauben willst. Es bedeutet aber auch, dass ein Plugin, das du 2022 installiert hast, 2026 nicht zur Hintertür werden kann, weil es keine Plugins gibt.

Was du jetzt tun solltest, wenn du noch auf WordPress bist

Vier Prüfungen, in dieser Reihenfolge:

  1. Liste jedes aktive Plugin auf und prüf die Felder “zuletzt aktualisiert” und “getestet bis”. Plugins, die seit über einem Jahr nicht aktualisiert wurden oder kürzlich die Betreuung gewechselt haben, sind das höchste Risiko.
  2. Schau in die wp-config.php nach Code, der dort nicht hingehört. Wenn du kein PHP lesen kannst, frag jemanden, der es kann. Vertrau keinem Bereinigungs-Plugin, das dir sagt, alles sei sauber.
  3. Finde heraus, wer tatsächlich für deine Updates verantwortlich ist. Wenn die Antwort “niemand” oder “ich glaube, das macht jemand für mich” lautet, ist das das eigentliche Problem, unabhängig von diesem Angriff.
  4. Prüf in der Google Search Console auf manuelle Maßnahmen oder ungewöhnlich indexierte URLs. Spam-Seiten tauchen dort auf, bevor sie irgendwo sonst sichtbar werden.

Wenn deine Website die Spitze deines Vertriebstrichters ist, ist der Betrieb auf Plugins von Fremden eine geschäftliche Entscheidung, keine technische. Ein Website-Abo mit integrierter Wartung ist eine Alternative. WordPress mit jemandem, der tatsächlich aktiv dahintersteht, eine andere. Keins von beidem zu haben, ist die Option, mit der der Angreifer gerechnet hat.

Mehr dazu, was Website-Wartung in der Praxis tatsächlich bedeutet: Was passiert mit deiner Website nach dem Launch.

If your website has become a bottleneck, let’s talk!

Get in touch