Veröffentlichungsdatum April 15, 2026

WordPress in Gefahr: Gekaufte Plugins mit Backdoor infiziert – so prüfst du, ob deine Website betroffen ist

Estimated reading time: 5 Minuten

Ein aktueller Sicherheitsfall zeigt erneut, wie gefährlich Supply-Chain-Angriffe im WordPress-Ökosystem sein können: Laut WinFuture wurde ein ganzes Portfolio von Plugins übernommen und anschließend mit einer Backdoor versehen. Weitere Recherchen von Sicherheitsanbietern und Fachmedien deuten darauf hin, dass die Schadfunktion bereits Monate zuvor eingebaut wurde und erst Anfang April 2026 aktiv ausgenutzt wurde. 

Besonders brisant ist der Fall, weil die Plugins nicht über eine klassische Schwachstelle kompromittiert wurden, sondern offenbar nach einem Eigentümerwechsel. Patchstack beschreibt, dass der neue Besitzer die Backdoor bereits im ersten relevanten Code-Commit eingebaut haben soll. Die Schadfunktion blieb rund acht Monate unauffällig und wurde erst am 5. und 6. April 2026 aktiv. WordPress.org reagierte am 7. April 2026, schloss die betroffenen Plugins dauerhaft und verteilte teils erzwungene Sicherheits-Updates. 

Was genau passiert ist

Nach den vorliegenden Analysen geht es um Plugins aus dem Umfeld von „Essential Plugin“ beziehungsweise dem früheren Anbieter „WP Online Support“. Die Manipulation lief nicht über einen simplen Bug, sondern über eine absichtlich eingebaute Backdoor. Diese konnte unter bestimmten Bedingungen fremden Code nachladen, Schadcode in wp-config.php einschleusen und teils versteckte SEO-Spam-Inhalte ausliefern. TechCrunch, Patchstack und Anchor Hosting sprechen deshalb von einem besonders heiklen Supply-Chain-Vorfall. 

Das Problem dabei: Selbst wenn WordPress.org die Plugins inzwischen geschlossen oder eine abgespeckte Bereinigung angestoßen hat, ist damit nicht automatisch jeder Schaden beseitigt. mySites.guru weist ausdrücklich darauf hin, dass eine nachträgliche Schutzversion die bereits in wp-config.php injizierten Änderungen nicht zuverlässig entfernt. Genau deshalb reicht es nicht, nur auf „Plugin aktualisiert“ zu schauen. 

So prüfst du, ob deine Website betroffen ist

Der wichtigste Punkt zuerst: Prüfe nicht nur die Plugin-Version, sondern auch die Dateien deiner Installation.

1. Prüfen, ob eines der betroffenen Plugins installiert ist

Zu den betroffenen Plugins gehören laut den ausgewerteten Quellen unter anderem:

  • Countdown Timer Ultimate
  • Popup Anything on Click
  • WP Testimonial with Widget
  • WP Team Showcase and Slider
  • WP FAQ (sp-faq)
  • SP News and Widget
  • WP Blog and Widgets
  • Album and Image Gallery Plus Lightbox
  • Post Grid and Filter Ultimate
  • Hero Banner Ultimate
  • WP Featured Content and Slider
    sowie zahlreiche weitere Plugins aus demselben Portfolio.  

Wenn eines dieser Plugins auf deiner Website installiert war oder noch ist, solltest du die Seite als potenziell betroffen behandeln. WordPress.org hat die betroffenen Erweiterungen laut mehreren Quellen dauerhaft geschlossen. 

2. 

wp-config.php

 manuell kontrollieren

Das ist der wichtigste Prüfpunkt. Sicherheitsanalysen empfehlen, die Datei wp-config.php zu öffnen und speziell den Bereich rund um diese Zeile zu kontrollieren:

require_once ABSPATH . ‚wp-settings.php‘;

Wenn dort zusätzlicher, unerwarteter PHP-Code auftaucht, ist das ein starkes Warnsignal. mySites.guru schreibt zudem, dass infizierte wp-config.php-Dateien ungefähr 6 KB größer geworden sein können. 

Achte insbesondere auf:

  • unbekannte Funktionen
  • verschleierten oder stark komprimierten PHP-Code
  • verdächtige eval, base64_decode, gzinflate, unserialize
  • Code, der dort vorher definitiv nicht stand

3. Nach einer Datei namens 

wp-comments-posts.php

 suchen

Laut den veröffentlichten Prüfschritten sollte diese Datei in einer sauberen WordPress-Installation nicht vorhanden sein. Wenn sie im Webroot auftaucht, ist das ein weiterer möglicher Hinweis auf eine Kompromittierung. 

4. Plugin-Verzeichnis gezielt durchsuchen

Durchsuche den Ordner wp-content/plugins/ nach den Slugs der betroffenen Plugins. Besonders auffällig sind unter anderem:

  • countdown-timer-ultimate
  • popup-anything-on-click
  • wp-testimonial-with-widget
  • wp-team-showcase-and-slider
  • sp-faq
  • sp-news-and-widget
  • wp-blog-and-widgets
  • post-grid-and-filter-ultimate  

Wer Zugriff per SSH oder Terminal hat, kann unter Linux zum Beispiel so suchen:

ls wp-content/plugins/

Oder gezielter:

find wp-content/plugins -maxdepth 1 -type d | egrep „countdown-timer-ultimate|popup-anything-on-click|wp-testimonial-with-widget|wp-team-showcase-and-slider|sp-faq|sp-news-and-widget|wp-blog-and-widgets|post-grid-and-filter-ultimate“

5. Änderungsdatum wichtiger Dateien prüfen

Wenn wp-config.php oder verdächtige Plugin-Dateien rund um den 5. bis 8. April 2026 geändert wurden, passt das zeitlich zu den veröffentlichten Analysen über die Aktivierung und die spätere Reaktion von WordPress.org. Das ist kein Beweis, aber ein starkes Indiz. 

Was du tun solltest, wenn du betroffen bist

Wenn eines der betroffenen Plugins auf deiner Website gefunden wurde, solltest du es nicht einfach nur deaktivieren, sondern vollständig entfernen und die Installation auf Manipulationen prüfen. Mehrere Quellen betonen, dass die von WordPress.org verteilten Korrekturen nur Teile der Backdoor entschärfen, aber bereits injizierten Schadcode nicht zwingend entfernen. 

Empfohlen ist in so einem Fall:

  1. Betroffenes Plugin sofort entfernen.
  2. wp-config.php manuell prüfen und bereinigen.
  3. Dateisystem der Website komplett scannen.
  4. Admin-Konten kontrollieren.
  5. Alle Passwörter ändern.
  6. Falls möglich ein sauberes Backup von vor dem 5. April 2026 einspielen und danach erneut prüfen.  

Warum dieser Vorfall so wichtig ist

Der Fall zeigt ein strukturelles Problem: Nicht nur ungepatchte Schwachstellen sind gefährlich, sondern auch Vertrauensbrüche nach einem Eigentümerwechsel. TNW und TechCrunch heben hervor, dass WordPress-Nutzer in der Regel nicht transparent über solche Übernahmen informiert werden und genau das Supply-Chain-Angriffe begünstigt. 

Für Betreiber von WordPress-Seiten heißt das ganz klar: Sicherheitsupdates bleiben wichtig, aber genauso wichtig ist es, installierte Plugins regelmäßig zu überprüfen, Altlasten zu entfernen und Dateiänderungen aktiv zu überwachen. 

Fazit

Der von WinFuture aufgegriffene Fall ist kein gewöhnlicher Plugin-Bug, sondern ein ernstzunehmender Supply-Chain-Angriff auf WordPress-Websites. Besonders kritisch ist, dass eine Website auch dann noch kompromittiert sein kann, wenn das betroffene Plugin inzwischen deaktiviert, geschlossen oder notdürftig aktualisiert wurde. Entscheidend ist deshalb die Prüfung von wp-config.php, dem Plugin-Verzeichnis und verdächtigen Zusatzdateien wie wp-comments-posts.php. 

Dieser Beitrag sowie das Beitragsbild wurde mit Unterstützung von Künstlicher Intelligenz (Gemini/ChatGPT/Ideogram.ai) erstellt und durch die Redaktion geprüft und ergänzt.

This article and the post image were created with the support of Artificial Intelligence (Gemini/ChatGPT/Ideogram.ai) and checked and supplemented by the editors.

xpast2 - All Things Want a Feeling Cover Art
New Single
All Things Want a Feeling
xpast2
Spotify Apple Music Jetzt kaufen

Artist, DJ & Producer aus Sachsen/Löbau

Sylvio Mertsch

Sylvio Mertsch

IT-Sicherheit IT-Web

Sicherheit wordpress

Sei der Erste, der das kommentiert

Kommentare sind geschlossen, allerdings sind Trackbacks und Pingbacks möglich.