WordPress-Skandal: 30 Plugins mit versteckter Backdoor infiziert
📅 15.04.2026

WordPress-Skandal: 30 Plugins mit versteckter Backdoor infiziert

Ein neuer Sicherheitsvorfall erschüttert aktuell die WordPress-Welt: Über 30 weit verbreitete Plugins wurden gezielt kompromittiert – mit einer Backdoor, die monatelang unentdeckt blieb.

Was passiert ist

Ein Käufer übernahm ein komplettes Plugin-Portfolio und schleuste unauffällig Schadcode ein. Besonders perfide: Die Backdoor blieb rund acht Monate lang inaktiv, bevor sie Anfang April 2026 gleichzeitig aktiviert wurde.

Die vollständige technische Analyse stammt aus diesem Bericht:
Original-Analyse lesen

Diese WordPress-Plugins sind betroffen

  • Accordion and Accordion Slider
  • Album and Image Gallery Plus Lightbox
  • Audio Player with Playlist Ultimate
  • Blog Designer for Post and Widget
  • Countdown Timer Ultimate
  • Featured Post Creative
  • Footer Mega Grid Columns
  • Hero Banner Ultimate
  • HTML5 VideoGallery Plus Player
  • Meta Slider and Carousel with Lightbox
  • Popup Anything on Click
  • Portfolio and Projects
  • Post Category Image with Grid and Slider
  • Post Grid and Filter Ultimate
  • Preloader for Website
  • Product Categories Designs for WooCommerce
  • Responsive WP FAQ with Category (sp-faq)
  • SlidersPack – All in One Image Sliders
  • SP News And Widget
  • Styles for WP PageNavi – Addon
  • Ticker Ultimate
  • Timeline and History Slider
  • Woo Product Slider and Carousel with Category
  • WP Blog and Widgets
  • WP Featured Content and Slider
  • WP Logo Showcase Responsive Slider and Carousel
  • WP Responsive Recent Post Slider
  • WP Slick Slider and Image Carousel
  • WP Team Showcase and Slider
  • WP Testimonial with Widget
  • WP Trending Post Slider and Widget

Warum das so gefährlich ist

Die Plugins wirkten jahrelang vertrauenswürdig. Erst nach dem Verkauf wurden gezielt Änderungen eingebaut. Genau das macht den Angriff so gefährlich: Er nutzt bestehendes Vertrauen aus.

Einige dieser Plugins waren weit verbreitet, etwa Countdown Timer Ultimate oder Popup Anything on Click, die zuvor ganz normale Marketing-Tools waren [oai_citation:0‡InstaWP](https://instawp.com/best-wordpress-countdown-timer-plugins/?utm_source=chatgpt.com).

Der eigentliche Angriff

Der Schadcode wurde nicht nur im Plugin selbst versteckt, sondern direkt in die zentrale WordPress-Datei wp-config.php geschrieben. Dadurch blieb er auch nach Updates aktiv.

Besonders kritisch: Die manipulierten Seiten zeigten schädliche Inhalte nur für Google an. Website-Betreiber selbst sahen davon nichts.

WordPress reagiert – aber zu spät?

Alle betroffenen Plugins wurden inzwischen aus dem offiziellen Verzeichnis entfernt und teilweise automatisch deaktiviert. Dennoch zeigt der Vorfall ein strukturelles Problem: Besitzerwechsel von Plugins werden bislang nicht gesondert geprüft.

Was du jetzt tun solltest

  • Prüfe, ob eines der oben genannten Plugins installiert ist
  • Kontrolliere deine wp-config.php auf ungewöhnlichen Code
  • Vergleiche aktuelle Dateien mit Backups
  • Entferne unbekannte oder nicht gepflegte Plugins konsequent

Fazit

Der Angriff zeigt: Selbst etablierte Plugins können zum Risiko werden, wenn sich die Besitzverhältnisse ändern. Wer WordPress nutzt, sollte seine Installation regelmäßig überprüfen – und nicht blind auf bekannte Namen vertrauen.

Laura Bergmann
Verbraucherexpertin & Redaktion
Laura übersetzt technische Daten in klare, verständliche Texte und bewertet Nutzwert & Alltagstauglichkeit.