Essential-Plugin-Supply-Chain-Angriff: 31 WordPress-Plugins kompromittiert — was Site-Betreiber jetzt prüfen müssen
Falls auf einer Ihrer WordPress-Sites eines der unten gelisteten Essential-Plugin-Plugins installiert ist (auch deaktiviert), gilt die Site bis zum manuellen Audit als kompromittiert. Das automatisch ausgespielte Update auf Version 2.6.9.1 deaktiviert nur die Command-and-Control-Verbindung — den eingeschleusten Schadcode entfernt es nicht.
Anfang April 2026 wurde ein achtmonatiger Schläfer-Angriff auf 31 weit verbreitete WordPress-Plugins aus dem Essential-Plugin-Bundle aktiv. Der Plugin-Anbieter war Anfang 2025 — ohne Hinweis an die Endnutzer — an einen unbekannten Käufer verkauft worden, der über ein als „Kompatibilitäts-Update“ getarntes Release PHP-Schadcode in Umlauf brachte. Die offizielle Plugin-Seite zählt 400.000+ Installationen und 15.000+ Kunden, im offiziellen WordPress-Repository waren laut TechCrunch über 20.000 aktive Sites direkt betroffen. Was der Vorfall technisch zeigt — und was WordPress-Site-Betreiber jetzt prüfen müssen.
Was passiert ist
Anfang 2025 wechselte das Plugin-Bundle Essential Plugin mit 31 Free- und Premium-Erweiterungen den Eigentümer. Der neue Inhaber, der unter dem Alias „Kris“ auftrat, übernahm sämtliche Update-Rechte — ohne dass diese Eigentümer-Änderung den Plugin-Nutzern angezeigt wurde. Mit Version 2.6.7, die als reguläres Kompatibilitäts-Update über das offizielle WordPress-Update-System ausgespielt wurde, gelangte PHP-Schadcode auf alle aktiven Installationen.
Der Code blieb dann acht Monate lang inaktiv, bis er Anfang April 2026 aktiviert wurde. Aufgedeckt wurde der Vorfall von Austin Ginder (Anchor Hosting), nachdem ein Kunde unautorisierten Drittzugriff bemerkte und die Forensik zurück zum Plugin-Update führte.
Warum dieser Angriff besonders gefährlich ist
Drei Eigenschaften heben den Vorfall von typischen WordPress-Plugin-Kompromittierungen ab:
1. Cloaked SEO-Spam — nur Googlebot bekommt den Schadinhalt
Der eingeschleuste Code lieferte Spam-Links, Weiterleitungen und versteckte Spam-Pages ausschließlich an Googlebot aus. Reguläre Besucher sahen die Site unverändert — auch der Site-Betreiber selbst, wenn er sie über den Browser öffnete. Ergebnis: Der Befall fiel monatelang nicht auf, während Google massenhaft Spam-URLs unter der eigenen Domain indexierte. Klassisches Cloaking, kombiniert mit persistenter Backdoor — eine Methode, die maximalen SEO-Schaden bei minimaler Sichtbarkeit erzeugt.
2. Command-and-Control über Ethereum-Smart-Contract
Statt fester Server-Adressen löste der Schadcode seine C2-Infrastruktur dynamisch über einen Ethereum-Smart-Contract auf. Der Code las die jeweils aktuelle Server-Adresse direkt aus der Blockchain — und der Angreifer konnte den Smart Contract jederzeit auf neue Domains zeigen lassen. Klassische Domain-Takedowns oder DNS-Sinkholes, die normalerweise Botnetz-Infrastruktur lahmlegen, greifen hier nicht. Das ist eine neue Qualität bei WordPress-Malware und ein deutlicher Fingerzeig, wie professionelle Angreifer ihre Persistenz absichern.
3. Acht Monate Dormancy — die Spuren verwischen
Wer Sicherheitsvorfälle untersucht, sucht zuerst nach jüngsten Änderungen: neue Plugins, Updates, Theme-Wechsel der letzten Tage. Acht Monate Inaktivität zwischen Infektion und Aktivierung machen diese zeitbasierte Korrelation wertlos. Ein Site-Betreiber, der den Befall im April 2026 entdeckt, wird das Plugin-Update vom August 2025 schlicht nicht mehr verdächtigen — es liegt zu lange zurück und hat zu lange unauffällig funktioniert.
Die offizielle WordPress-Reaktion reicht nicht
WordPress hat ein erzwungenes Update auf Version 2.6.9.1 ausgespielt, das die Kommunikation mit der C2-Infrastruktur deaktiviert. Aber: der Schadcode selbst bleibt auf der Site. Die Plugins wurden im offiziellen Repository dauerhaft gesperrt; das eigentliche Reinigen muss jeder Site-Betreiber selbst übernehmen.
Praktisch heißt das: Wer eines der unten gelisteten Plugins eingesetzt hat, kann sich nicht auf das Auto-Update verlassen. Die saubere Beseitigung erfordert manuelle Plugin-Deinstallation, eine Forensik der Konfigurationsdateien und ein Audit der eigenen Search Console.
Die 31 betroffenen Plugins im Überblick
Viele der betroffenen Plugins sind Allerwelts-UI-Bausteine, die in Agentur-Builds und Elementor-Sites häufig auftauchen — Slider, Galerien, Popups, Testimonials. Genau das macht den Vorfall so flächendeckend. Prüfen Sie diese Liste gegen den Plugin-Bestand jeder von Ihnen betreuten WordPress-Site:
- Accordion and Accordion Slider
- Album and Image Gallery Plus Lightbox
- Audio Player with Playlist Ultimate
- Blog Designer for Post and Widget
- Countdown Timer Ultimate
- Featured Post Creative
- Footer Mega Grid Columns
- Hero Banner Ultimate
- HTML5 VideoGallery Plus Player
- Meta Slider and Carousel with Lightbox
- Popup Anything on Click
- Portfolio and Projects
- Post Category Image with Grid and Slider
- Post Grid and Filter Ultimate
- Preloader for Website
- Product Categories Designs for WooCommerce
- Responsive WP FAQ with Category
- SlidersPack — All in One Image Sliders
- SP News and Widget
- Styles for WP PageNavi — Addon
- Ticker Ultimate
- Timeline and History Slider
- Woo Product Slider and Carousel with Category
- WP Blog and Widgets
- WP Featured Content and Slider
- WP Logo Showcase Responsive Slider and Carousel
- WP Responsive Recent Post Slider
- WP Slick Slider and Image Carousel
- WP Team Showcase and Slider
- WP Testimonial with Widget
- WP Trending Post Slider and Widget
Für einen schnellen Audit über mehrere Sites eignet sich WP-CLI — die folgende Zeile gibt alle aktiven Plugins einer Installation aus:
$ wp plugin list --status=active --field=name
Die Ausgabe lässt sich gegen die obenstehende Liste abgleichen. Wer mehrere Sites betreut, sollte das Skript einmal über alle Installationen laufen lassen — auch über Sites, die seit Monaten nicht mehr aktiv betreut wurden.
Was Site-Betreiber jetzt tun müssen
Schritt 1: Sofort-Audit aller WordPress-Installationen
Jede WordPress-Site, für die Sie verantwortlich sind, einmal gegen die 31er-Liste prüfen. Auch wenn ein Plugin nur deaktiviert vorhanden ist — der Schadcode liegt im Plugin-Verzeichnis und wartet, bis er wieder aktiviert wird oder durch andere Schwachstellen erreichbar ist.
Schritt 2: Bei Treffer — die vollständige Forensik
Das Update auf 2.6.9.1 reicht nicht. Wer das Plugin tatsächlich im Einsatz hatte, muss folgenden Pfad durchgehen:
- Plugin vollständig deinstallieren — nicht nur deaktivieren. Anschließend per FTP/SFTP prüfen, ob das Plugin-Verzeichnis unter
wp-content/plugins/tatsächlich entfernt wurde. - Konfigurationsdateien scannen — die Analyse von Anchor Hosting weist darauf hin, dass der Code zentrale Konfigurationsdateien manipulierte. Insbesondere
wp-config.phpund die.htaccessauf nicht erklärbare Includes, base64-kodierte Strings,eval()-Aufrufe oder ungewöhnliche Rewrite-Rules prüfen. - Datenbank durchsuchen — nach unbekannten Admin-Usern in
wp_usersund nachwp_options-Einträgen mit base64- oder eval-Strings. Eine schnelle SQL-Abfrage:SELECT option_name FROM wp_options WHERE option_value LIKE '%base64_decode%' OR option_value LIKE '%eval(%'; - Search Console prüfen — Reiter „Sicherheit & manuelle Maßnahmen“ auf manuelle Aktionen, dazu
site:ihre-domain.dein der Google-Suche auf indexierte URLs scannen, die nicht zur Site gehören sollten. Weiterleitungen, Spam-Pfade in fremden Sprachen, Pharma-Keywords sind typische Indikatoren. - Backlink-Profil monitoren — den Cloaked-Spam erzeugte unter Umständen ein Inflow zweifelhafter Backlinks. Sofort-Disavow ist nicht angeraten, aber das Profil sollte über die folgenden Wochen beobachtet werden.
Schritt 3: SEO-Schaden begrenzen
Die Cloaking-Methodik hat eine direkte SEO-Konsequenz: Google indexiert Wochen oder Monate lang Spam-URLs unter Ihrer Domain. Die möglichen Folgen reichen von einer manuellen Spam-Aktion in der Search Console über einen schleichenden Vertrauensverlust der Domain bis zum Absacken legitimer Rankings. Selbst nach erfolgreicher Bereinigung kann es Wochen dauern, bis Google die Domain wieder als „sauber“ einstuft und neu crawlt — dieser Zeitraum sollte dem Kunden offen kommuniziert werden.
Schritt 4: Plugin-Bestand kuratieren
Die betroffenen Plugins sind dauerhaft aus dem WordPress-Repository entfernt. Wer sie einsetzt, muss zwingend auf gepflegte Alternativen wechseln — am besten auf Plugins von Anbietern, die ihre Update-Pipelines mit Zwei-Faktor-Authentifizierung absichern und keine reine Ein-Personen-Operation sind. Eine kuratierte Liste finden Sie in unserem Plugin-Verzeichnis.
Die strukturelle Wurzel: WordPress hat ein 2FA-Problem
Der Vorfall zeigt zwei Schwachstellen im WordPress-Plugin-Ökosystem, die nicht mit einem einzelnen Patch zu lösen sind:
- Keine Pflicht-2FA für Plugin-Entwickler. Anders als
npm(JavaScript) oderPyPI(Python), die nach mehreren Supply-Chain-Vorfällen Zwei-Faktor-Authentifizierung für Maintainer populärer Pakete erzwungen haben, gilt diese Pflicht im offiziellen WordPress-Repository bislang nur für Plugins ab gewissen Schwellenwerten. Sobald ein Account übernommen wird, lassen sich Updates direkt an Millionen Sites ausspielen. - Keine Anzeige bei Eigentümerwechsel. Verkauft ein Entwickler sein Plugin, wird das den bestehenden Nutzern nicht angezeigt — das Plugin updatet einfach unter neuem Eigentümer weiter. Bei vielen Plugins, die als „kostenlose Lösung“ einmal installiert und dann nie wieder kontrolliert werden, ist das ein offenes Scheunentor.
Beide Punkte sind seit Jahren bekannt, beide sind Gegenstand laufender Diskussionen in der WordPress-Core-Community. Solange sie nicht strukturell adressiert werden, ist die Konsequenz für Site-Betreiber eindeutig: Plugins sind nicht statisch — sie sind eine Lieferkette. Und Lieferketten brauchen Wartung.
Fazit: Wartung ist kein Luxus, sondern Risiko-Management
Der Essential-Plugin-Vorfall ist innerhalb weniger Wochen bereits der zweite größere Plugin-Hijack mit fünfstelliger Installationsbasis. Das ist kein Einzelfall mehr, sondern ein Muster — und das Muster wird sich fortsetzen, solange WordPress 37 % des CMS-Markts hält und Plugin-Übernahmen ohne Vorwarnung möglich sind.
Was eine professionelle WordPress-Wartung in einem solchen Szenario leistet:
- Bestands-Audit innerhalb von 24 Stunden — sobald ein Vorfall bekannt wird, werden alle betreuten Sites gegen die Liste der betroffenen Plugins geprüft.
- Saubere Bereinigung statt Schein-Patch — Deinstallation, Konfigurationsdatei-Scan, Datenbank-Audit, Search-Console-Check.
- Plugin-Vendor-Auswahl — proaktive Orientierung an Plugins von Anbietern mit aktiven 2FA-gesicherten Update-Pipelines, statt „kostenlos und einmal installiert“.
- Monitoring — Filesystem- und Datenbank-Anomalien werden auch dann erkannt, wenn der Schadcode acht Monate dormant liegt.
Wenn Sie betroffen sind oder vermuten, betroffen zu sein, prüfen wir Ihre Site im Rahmen einer kostenlosen Erstanalyse — ohne Wartungsvertrag, ohne Verpflichtung. Wer akut Hilfe braucht, erreicht uns über die Notfall-Hilfe.
Quellen: Austin Ginder / Anchor Hosting (Erstaufdeckung und technische Analyse), TechCrunch, TechRadar und Winfuture (Berichterstattung). Stand der Informationen: 15. April 2026.
Wir beraten Sie gern zu Ihrer WordPress-Situation — kostenlos und unverbindlich. Kontakt aufnehmen →
