Millionen WordPress-Websites potenziell gefährdet: Sicherheitsforscher warnen vor Supply-Chain-Angriff auf beliebte Plugins

Liebe Leser,

Sicherheitsforscher haben vor wenigen Tagen vor einem besonders gefährlichen Angriff auf WordPress-Websites gewarnt. Betroffen sind mehrere weit verbreitete Plugins des Herstellers Awesome Motive, die zusammen auf über eine Million aktiven Installationen eingesetzt werden. Der Vorfall zeigt erneut, wie wichtig regelmäßige Updates und eine kontinuierliche Überwachung von Webseiten sind.

Besonders brisant: Die Angreifer haben offenbar nicht direkt einzelne Webseiten attackiert, sondern die Lieferkette der Software selbst angegriffen. Experten sprechen in solchen Fällen von einem sogenannten Supply-Chain-Angriff.

Was ist ein Supply-Chain-Angriff?

Bei einem klassischen Hackerangriff wird meist versucht, direkt in eine Webseite oder ein System einzudringen. Bei einem Supply-Chain-Angriff gehen Angreifer einen anderen Weg: Sie kompromittieren die Software oder Infrastruktur eines Herstellers und verteilen den Schadcode anschließend über reguläre Updates oder externe Dienste an viele Nutzer gleichzeitig.

Dadurch können innerhalb kürzester Zeit tausende oder sogar Millionen Webseiten betroffen sein, obwohl die Betreiber selbst keinerlei Fehler gemacht haben.

Genau ein solcher Fall scheint nun bei mehreren WordPress-Plugins aufgetreten zu sein.

Welche Plugins sind betroffen?

Nach Angaben der Sicherheitsforscher von Sansec wurde Schadcode über die Plugins OptinMonster, TrustPulse und PushEngage verbreitet. Besonders OptinMonster zählt zu den bekanntesten Marketing-Plugins für WordPress und wird auf einer sehr großen Anzahl von Webseiten eingesetzt.

Andere bekannte Plugins des Herstellers wie WPForms, MonsterInsights oder All in One SEO scheinen nach aktuellem Kenntnisstand nicht betroffen zu sein. Dennoch raten die Forscher zu erhöhter Aufmerksamkeit, bis die genaue Ursache des Vorfalls vollständig geklärt ist.

Wie funktioniert der Angriff?

Besonders gefährlich ist, dass die Schadsoftware nicht sofort aktiv wird. Stattdessen wartet sie gezielt darauf, dass sich ein Administrator in die betroffene WordPress-Webseite einloggt.

Sobald dies geschieht, richtet die Malware heimlich ein zusätzliches Administratorkonto ein, auf das die Angreifer Zugriff haben. Gleichzeitig wird ein weiteres Plugin installiert, das als versteckte Hintertür – eine sogenannte Backdoor – dient.

Über diese Backdoor können die Angreifer auch später noch auf die Webseite zugreifen, selbst wenn das ursprüngliche Problem bereits entdeckt wurde.

Die Hintertür tarnt sich als normales Plugin

Besonders perfide ist die Art und Weise, wie die Schadsoftware ihre Spuren verwischt.

Das installierte Backdoor-Plugin erscheint laut den Forschern nicht in der normalen Plugin-Übersicht von WordPress. Viele Administratoren würden daher gar nicht bemerken, dass eine zusätzliche Erweiterung installiert wurde.

Zusätzlich tarnt sich die Hintertür als scheinbar nützliches Werkzeug mit Namen wie „Content Delivery Helper“ oder „Database Optimizer“. Dadurch wirkt sie auf den ersten Blick unauffällig und erweckt keinen Verdacht.

Warum regelmäßige Updates so wichtig sind

Die gute Nachricht ist: Die betroffenen Plugins wurden inzwischen bereinigt. Das bedeutet, dass die Entwickler den schädlichen Code aus den betroffenen Komponenten entfernt haben.

Allerdings hilft dies nur den Webseitenbetreibern, die die aktuellen Versionen auch tatsächlich installieren. Wer weiterhin ältere Versionen einsetzt, könnte weiterhin gefährdet sein.

Dieser Vorfall zeigt eindrucksvoll, warum regelmäßige Updates zu den wichtigsten Sicherheitsmaßnahmen überhaupt gehören. Sicherheitslücken und kompromittierte Software können jederzeit auftreten – entscheidend ist, wie schnell darauf reagiert wird.

Was sollten WordPress-Betreiber jetzt tun?

Betreiber von WordPress-Webseiten sollten prüfen, ob eines der genannten Plugins installiert ist oder war. Anschließend sollte sichergestellt werden, dass sämtliche Plugins sowie WordPress selbst auf dem aktuellen Stand sind.

Darüber hinaus empfiehlt es sich, die Liste der Administratoren zu kontrollieren. Unbekannte Benutzerkonten sollten umgehend untersucht und gegebenenfalls entfernt werden. Auch ein Blick auf installierte Plugins kann helfen, verdächtige Erweiterungen zu entdecken.

Wer unsicher ist, sollte seine Installation von einem erfahrenen Administrator oder Sicherheitsdienstleister überprüfen lassen.

Unser Service: Sicherheitsupdates schnell und zuverlässig installieren

Für alle Kunden, die unseren WordPress Update Service nutzen, haben wir die Installation der von den betroffenen Plugin-Herstellern bereitgestellten Sicherheitsupdates bereits eingeplant beziehungsweise führen diese zeitnah durch. Dadurch stellen wir sicher, dass die kompromittierten Plugin-Versionen durch die bereinigten Fassungen ersetzt werden und die über den Angriff verbreitete Schadsoftware nicht weiter über diese Sicherheitslücke eingeschleust werden kann.

Allen anderen Kunden empfehlen wir dringend, entweder unseren WordPress Update Service zu buchen oder sich schnellstmöglich selbst um die Installation der aktuellen Updates zu kümmern. Gerade bei sicherheitsrelevanten Vorfällen wie diesem kann schnelles Handeln entscheidend sein, um die eigene Webseite und die darauf gespeicherten Daten zu schützen.