Einst wponlinesupport.com, dann essentialplugin.com, aufgekauft von einem Käufer, der sich „Kris“ nannte, Monate später, im August 2025 mit einem Backdoor infiziert, der sich am 5. und 6. April in betroffenen Installationen aktivierte. 31 Plugins wurden daraufhin am 7. April aus dem WordPress-Repository entfernt und eine Warnung veröffentlicht.
WordPress verfügt über keinen Mechanismus, um die Übertragung von Plugin-Eigentumsrechten zu überprüfen oder eine Codesignierung für Updates zu verlangen. Wer Plugins von einem Anbieter kauft, übernimmt also praktisch nicht nur den Code, sondern auch den Vertrauensstatus. Diese „Sicherheitslücke“ hat überhaupt erst möglich gemacht, in eine ganze Pluginserie Schadcode über das WordPress-Repository auf Websites ahnungsloser Sitebetreiber zu bringen.
Solange WordPress.org Eigentumsübertragungen nicht überprüft und Aktualisierungen nicht kryptografisch signiert, bleibt das Risiko systemisch für alle Websites, die Drittanbieter-Plugins mit aktiven automatischen Aktualisierungen verwenden.
Der Schadcode kam mit Version 2.6.7, die am 8. August 2025 veröffentlicht wurde und einen Eintrag im Changelog enthielt, der lautete: „Check compatibility with WordPress version 6.8.2.“ Hinter diesem harmlos klingenden Hinweis verbargen sich 191 zusätzliche Zeilen PHP-Code, darunter ein Deserialisierungs-Backdoor, der die Ausführung von Remote-Code ermöglichte. Der Code blieb acht Monate lang inaktiv und unbemerkt, bevor er am 5. und 6. April 2026 aktiviert wurde.
Das Infektionsfenster dauerte sechs Stunden und 44 Minuten, zwischen 04:22 und 11:06 UTC. In dieser Zeit begann eine spezielle Domain namens analytics.essentialplugin.com, schädliche Software an Webseiten zu verteilen, die ein bestimmtes, unsicheres Plugin verwendeten. Diese Plugins hatten ein internes Modul, das eine Datei namens wp-comments-posts.php herunterlud. Diese Datei wurde verwendet, um gefährlichen Code in eine wichtige Datei namens wp-config.php einzufügen, die für die essentiellen Einstellungen jeder WordPress-Website verantwortlich ist.
Website-Betreiber, die ihre eigenen Seiten besuchten, bemerkten nichts Ungewöhnliches. Nur Suchmaschinen, die die Seiten durchsuchen, fanden den schädlichen Inhalt. Dies nennt man „Cloaking“, eine Technik, die darauf abzielt, die Suchmaschinenplatzierungen zu manipulieren und gleichzeitig unentdeckt zu bleiben.
Anstatt eine normale Domain zu verwenden, die möglicherweise gesperrt werden könnte, fand die schädliche Software ihren Befehlsserver über einen speziellen Vertrag auf der Ethereum-Blockchain, indem sie öffentliche Endpunkte abfragte. Dadurch konnte die übliche Methode, Domains zu sperren, um schädliche Aktivitäten zu stoppen, nicht angewendet werden.
Liste aller „Essential Plugin“s
WP News and Scrolling Widgets, Active Installs: 20,000+
WP Slick Slider and Image Carousel, Active Installs: 20,000+
WP Logo Showcase Responsive Slider, Active Installs: 60,000+
WP Responsive Recent Post Slider, Active Installs: 30,000+
WP Blog and Widgets, Active Installs: 10,000+
Portfolio and Projects, Active Installs: 3,000+
Blog Designer – Post and Widget, Active Installs: 10,000+
Album and Image Gallery plus Lightbox, Active Installs: 10,000+
Popup Anything – A Marketing Popup, Active Installs: 50,000+
WP Testimonial with Widget, Active Installs: 10,000+
Woo Product Slider and Carousel with Category, Active Installs: 10,000+
Countdown Timer Ultimate, Active Installs: 20,000+
WP Team Showcase and Slider, Active Installs: 5,000+
WP Responsive FAQ with Category Plugin, Active Installs: 8,000+
Timeline and History Slider, Active Installs: 6,000+
Video Gallery And Player, Active Installs: 4,000+
Trending Post Slider and Widget, Active Installs: 6,000+
Meta slider and Carousel with Lightbox, Active Installs: 8,000+
WP Featured Content and Slider, Active Installs: 4,000+
Featured Post Creative, Active Installs: 2,000+
Product Categories Designs for WooCommerce, Active Installs: 3,000+
Post Category Image With Grid and Slider, Active Installs: 3,000+
Ticker Ultimate, Active Installs: 2,000+
Post Grid and Filter Ultimate, Active Installs: 6,000+
Audio Player with Playlist, Active Installs: 1,000+
Footer Mega Grid Columns – For Legacy / Classic / Old Widget Screen, Active Installs: 6,000+
Accordion and Accordion Slider, Active Installs: 3,000+
Hero Banner Ultimate, Active Installs: 2000+
PreLoader for Website, Active Installs: 700+
Maintenance Mode, Active Installs: 200+
Before & After Image Slider, Active Installs: 200+
Author Box Ultimate, Active Installs: 50+
Styles For WP Pagenavi – Addon, Active Installs: 2000+
WP Login Customizer, Active Installs: 50+
Custom CSS and JS, Active Installs: 1000+
SlidersPack – All In One Image/Post Slider, Active Installs: 4,000+
Essential security
Die Plugins werden nach wie vor online verkauft!
Zeichen dafür, dass man vom essentialplugin-Backdoor betroffen ist
Es exisitert eine REST Route /wp-json/wpos/v1/analytics
Im Hauptverzeichnis der WordPress-Installation liegt eine wp-comments-posts.php – Datei (Achtung, es gibt eine Core-Datei, die ganz ähnlich heißt, wp-comments-post.php)
Die Datei wp-config.php sollte mit der Zeile require_once ABSPATH . 'wp-settings.php'; enden. PHP-Code der nach dieser Zeile folgt, ist ein Hinweis für einen Befall. Wenn er if(strpos($_SERVER['HTTP_USER_AGENT'])...) beginnt oder oder Verweise auf analytics.essentialplugin.com enthält, ist das ein Hinweis auf den essentialplugin-Backdoor.
Der organische Google-Traffic könnte bereits zurückgegangen sein. In den Suchmaschinenergebnissen wird die Website mit fremden Schlüsselwörtern (Casiono, Viagra, Crypto) gelistet. Im fortgeschrittenen Stadium gibt es bereits Benachrichtigungen in der Google Search Console über Spam-Inhalte.
Was du sofort tun kannst
Zuallererst: Backup machen!
Plugins von essentialplugin umgehend deaktivieren und löschen. wp-comments-posts.php aus dem Hauptverzeichnis entfernen und wp-config.php bereinigen. Alles nach require_once ABSPATH . 'wp-settings.php'; löschen.
analytics.essentialplugin.com der DNS-Blacklist des Servers oder der ausgehenden Firewall hinzufügen.
Den WordPress-Core neu installieren und Zugangsdaten ändern (vielleicht ist das auch der Moment für 2-Faktor Login und die Installation einer Firewall, resp. einen Schutzplugins, das regelmäßig die Dateiintegrität prüft).
Auf unbekannter Admin-User prüfen, ggf. löschen.
In der Datenbank (MyPHPAdmin) nach Options suchen die wpos oder essential enthalten und entfernen.
Möglicherweise entstand bereits ein Schaden bei der Auflistung der Site in Google-Serps, da die Website Spam an den Googlebot ausgeliefert hat. In diesem Fall solltest du nach der Bereinigung eine Überprüfung beantragen.
Wenn du dich überfordert fühlst mit der Analyse und / oder den Maßnahmen, engagiere eine/n fachkundige/n Dienstleister\in oder nimm direkt Kontakt zu uns auf.
Prävention
- Automatische Updates nicht aktivieren, sondern stattdessen regelmäßig manuell auf Updates prüfen und per Knopfdruck Updates durchführen.
- Jedes Plugins das du installiert, prüfen: wie viele Installationen, seit wann im Umlauf, Bewertung, Support, generelle Entwicklungen, auch Inhaberwechsel (Vertrauenswürdigkeit).
- Changelogs prüfen.
- So wenig Plugnis wie möglich verwenden (stattdessen stärker den Fokus auf den WordPress-Kern richten)
- 2-Faktor Authentifizierung für Administratoren einführen.
- Backups (extern, wenn möglich)
Schreibe einen Kommentar