Ein neuer, erschreckend skalierbarer Supply-Chain-Angriff erschüttert die WordPress-Community: Ein bislang unbekannter Akteur hat über die Plattform Flippa ein Portfolio von mindestens 30 WordPress-Plugins erworben und anschließend in sämtliche dieser Plugins eine versteckte Backdoor eingebaut. Der Fall offenbart systematische Schwachstellen im Ökosystem quelloffener CMS-Erweiterungen und stellt Websitebetreiber weltweit vor ernste Sicherheitsfragen.
Wie der Angriff ablief
Der Angriff folgt einem bereits bekannten, aber diesmal besonders konsequent umgesetzten Muster: Etablierte Plugins mit guter Reputation werden aufgekauft, die neue Eigentümerschaft bleibt für Nutzer zunächst unsichtbar, und der Schadcode wird so eingebettet, dass er erst nach einer Aktivierungsphase aktiv wird – die Backdoor war also zunächst dormant. Dieses Vorgehen ist strategisch klug, denn automatische Sicherheitsscanner erkennen inaktiven Schadcode deutlich schwerer. Erst als ein Nutzer eine Sicherheitswarnung im WordPress-Dashboard bemerkte und seinen Hoster informierte, kam der Stein ins Rollen. Das betroffene Plugin „Countdown Timer Ultimate" war bereits von WordPress.org zwangsweise auf Version 2.6.9.1 aktualisiert worden – doch selbst nach diesem Notfall-Update fanden Sicherheitsanalysten weiterhin verdächtigen Code im System.
Größere Welle als zunächst bekannt
Besonders beunruhigend ist das Ausmaß: Während ein ähnlicher Vorfall kurz zuvor beim Plugin „Widget Logic" noch als Einzelfall wirkte, zeigt sich nun, dass es sich um eine koordinierte Kampagne handelt. Der Angreifer investierte gezielt in ein ganzes Plugin-Portfolio – vermutlich um mit einem einzigen Kauf möglichst viele Websites gleichzeitig kompromittieren zu können. WordPress.org hat die betroffenen Plugins geschlossen und reagierte mit Zwangsupdates, doch die Frage bleibt: Wie viele Websites wurden in der Zwischenzeit bereits kompromittiert?
Strukturelles Problem im Plugin-Ökosystem
Der Vorfall ist kein Einzelfall, sondern symptomatisch für ein strukturelles Problem: Der Markt für WordPress-Plugins ist weitgehend unreguliert. Plugins können auf Plattformen wie Flippa frei gehandelt werden, ohne dass Käufer zwingend ihre Identität offenlegen oder Sicherheitsprüfungen durchlaufen müssen. Für Endnutzer ist ein Eigentümerwechsel in der Regel nicht transparent – das Plugin erscheint weiterhin unter dem ursprünglichen, vertrauenswürdigen Namen. Genau dieses Vertrauen wird hier als Angriffsvektor ausgenutzt. Supply-Chain-Angriffe auf Open-Source-Ökosysteme haben in den letzten Jahren massiv zugenommen – man denke etwa an den XZ-Utils-Vorfall aus dem Jahr 2024, bei dem ein Angreifer über Monate hinweg gezielt Vertrauen in einem Open-Source-Projekt aufbaute, bevor er Schadcode einfügte.
Was Websitebetreiber jetzt tun sollten
Für WordPress-Administratoren ergibt sich aus diesem Vorfall ein klarer Handlungsbedarf. Erstens sollten alle installierten Plugins auf aktuelle Updates geprüft werden – insbesondere solche, die schon länger nicht mehr aktiv gepflegt wurden. Zweitens empfiehlt es sich, Plugins auf unerwartete Code-Änderungen zu überwachen, etwa mit Integritätsprüfungs-Tools. Drittens sollte die Anzahl installierter Plugins auf das Nötigste reduziert werden: Jedes zusätzliche Plugin ist eine potenzielle Angriffsfläche. Viertens lohnt ein Blick auf die Changelog-Historie – ein plötzlicher Eigentümerwechsel oder ungewöhnliche Commits können frühe Warnsignale sein. Der Vorfall zeigt einmal mehr, dass Sicherheit im Web kein Zustand, sondern ein fortlaufender Prozess ist.
Quellen: Hacker News