Du hast eine WordPress-Website. Vielleicht für deinen Betrieb, deinen Verein oder als Selbstständige. Du hast dir dabei vielleicht keine großen Gedanken über die installierten Plugins gemacht und bisher hat immer alles funktioniert?
Gerade ist ein Fall bekanntgeworden, der zeigt: Manchmal ist genau das das Problem.
Was ist überhaupt ein Plugin?
Stell dir deine Website wie ein Smartphone vor. Das Grundsystem – WordPress – ist das Betriebssystem. Plugins sind die Apps, die du nachinstallierst, um zusätzliche Funktionen zu bekommen: ein Kontaktformular, ein Countdown-Timer, ein Cookie-Hinweis.
Das klingt harmlos. Und in den meisten Fällen ist es das auch. Aber weil ein Plugin direkten Zugriff auf deine gesamte Website hat, ist Vertrauen dabei keine Kleinigkeit.
Was ist passiert?
Anfang 2025 kaufte eine Person – bisher nur unter dem Namen „Kris“ bekannt – ein ganzes Paket von 26 WordPress-Plugins. Der Kauf lief ganz legal über die Plattform Flippa, einem Marktplatz für Online-Unternehmen, und kostete einen sechsstelligen Betrag. Das Plugin-Portfolio hieß „Essential Plugin“ (vormals „WP Online Support“) und hatte nach eigenen Angaben über 400.000 Installationen weltweit.¹
Was dann folgte, war eine sorgfältig geplante Falle.
Am 8. August 2025 erschien ein Update für eines der Plugins. Der offizielle Änderungshinweis klang unverdächtig: „Kompatibilität mit WordPress 6.8.2 geprüft.“² Was das Update tatsächlich enthielt: 191 Zeilen versteckten Schadcode.²
Und dann – nichts. Der Code tat monatelang gar nichts.
Erst am 5. und 6. April 2026 – acht Monate später – wurde er aktiviert.¹ Von diesem Moment an kontaktierte jedes betroffene Plugin den Server des Angreifers und lud weiteren Schadcode auf die jeweilige Website.
Was hat der Schadcode konkret gemacht?
Laut dem Sicherheitsforscher Austin Ginder, der den Angriff als Erster öffentlich dokumentiert hat, passierte auf betroffenen Websites Folgendes:¹
- Eine gefälschte Datei wurde auf der Website hinterlegt, die einer echten WordPress-Systemdatei täuschend ähnlich sah.
- In die zentrale Konfigurationsdatei der Website (
wp-config.php) wurde Spam-Code eingeschleust – typischerweise um Suchmaschinen zu manipulieren. - Der Angriff erfolgte über einen sogenannten „Deserialisierungs-Backdoor“: Ein technischer Mechanismus, der es dem Angreifer ermöglicht, beliebigen Code auf dem fremden Server auszuführen.
Kurz gesagt: Wer eines der betroffenen Plugins installiert hatte, gab dem Angreifer die vollständige Kontrolle über seine Website – ohne es zu merken.
Das eigentliche Problem: Niemand wird informiert
Hier liegt ein strukturelles Problem, das weit über diesen einzelnen Fall hinausgeht.
Wenn ein Plugin-Entwickler sein Plugin an jemand anderen verkauft, erfährst du als Website-Betreiber davon nichts. WordPress informiert dich nicht. Es gibt keine Meldung im Dashboard, keinen Hinweis per E-Mail – schlicht gar nichts.²
Austin Ginder schreibt in seinem Bericht: WordPress.org habe keinen Mechanismus, um Eigentümerwechsel zu kennzeichnen oder automatisch eine zusätzliche Code-Prüfung auszulösen.¹
Das bedeutet: Du vertraust einem Plugin, weil du es vielleicht seit Jahren kennst. Aber der Mensch, der heute dahintersteht, kann ein völlig anderer sein.
Wurde das Problem behoben?
WordPress.org hat nach der Entdeckung schnell reagiert und alle betroffenen Plugins dauerhaft aus dem offiziellen Verzeichnis entfernt.² Ein erzwungenes Sicherheits-Update (Version 2.6.9.1) wurde auf die betroffenen Seiten gespielt – es deaktivierte die Verbindung zum Angreifer-Server.
Aber: Wer bereits infiziert war, ist es unter Umständen noch immer. Das erzwungene Update entfernte nämlich nicht den eingeschleusten Code aus der Konfigurationsdatei der Website.³ Der Schadcode sitzt dort noch, auch nach dem Update.
Und: Diese Plugins werden nie wieder aktiv gepflegt werden. Sie sind dauerhaft geschlossen.³
Wie viele Websites waren betroffen?
Laut den Angaben von WordPress.org waren die betroffenen Plugins auf über 20.000 aktiven WordPress-Installationen im Einsatz.² Essential Plugin selbst wirbt auf seiner Website mit über 400.000 Plugin-Installationen und mehr als 15.000 Kunden.²
Was bedeutet das für dich?
Du musst kein Sicherheitsexperte sein, um aus dieser Geschichte etwas mitzunehmen. Drei Fragen helfen dir weiter:
1. Welche Plugins sind auf meiner Website installiert? Gehe in deinem WordPress-Dashboard auf „Plugins“ und schau dir die Liste an. Kennst du alle? Werden alle noch gebraucht? Alles, was du nicht aktiv nutzt, sollte deaktiviert und gelöscht werden.
2. Wann wurde ein Plugin zuletzt aktualisiert? Im Plugins-Verzeichnis von WordPress siehst du, wann ein Plugin zuletzt eine Aktualisierung erhalten hat. Plugins, die seit über einem Jahr nicht mehr gepflegt werden, können ein Risiko sein – und sollten ersetzt werden.
3. Vertraue ich dem Entwickler wirklich? Bekannte, gut bewertete Plugins mit vielen aktiven Installationen und einem aktiven Entwicklerteam sind sicherer als unbekannte Kleinprojekte. Aber – und das zeigt dieser Fall – auch das ist keine Garantie.
Fazit: Augen auf bei der Plugin-Nutzung
Plugins sind nützlich. Aber jedes Plugin, das du installierst, ist ein Stück Software, das vollständigen Zugriff auf deine Website hat. Dieses Vertrauen sollte verdient sein.
Weniger ist mehr. Jedes nicht benötigte Plugin ist ein Risiko, das du dir sparen kannst. Lösche, was du nicht brauchst.
Nur vertraute Plugins verwenden. Halte dich an Plugins mit langer Geschichte, aktiver Pflege und vielen positiven Bewertungen. Schau regelmäßig nach, ob Updates verfügbar sind – und installiere sie.
Lass jemanden draufschauen. Wenn du dir unsicher bist, welche Plugins auf deiner Website aktiv sind oder ob sie noch gepflegt werden: Sprich jemanden an, der sich damit auskennt. Eine kurze Prüfung kann viel verhindern.
Die Sicherheit deiner Website liegt letztlich in deinen Händen – aber du musst das Rad nicht alleine drehen.
Quellen
¹ Austin Ginder / Anchor Hosting: „Someone Bought 30 WordPress Plugins and Planted a Backdoor in All of Them“, April 2026. anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them
² TechCrunch: „Someone planted backdoors in dozens of WordPress plug-ins used in thousands of websites“, 14. April 2026. techcrunch.com
³ mySites.guru: „Essential Plugin WordPress Backdoor“, April 2026. mysites.guru/blog/essential-plugin-wordpress-backdoor
Du hast Fragen zu deiner WordPress-Website oder möchtest wissen, ob deine Plugins noch aktuell und sicher sind? Meld dich gerne – ich helfe dir dabei.
