WordPress-Skandal: 30 Plugins mit versteckter Backdoor infiziert

Ein neuer Sicherheitsvorfall erschüttert aktuell die WordPress-Welt: Über 30 weit verbreitete Plugins wurden gezielt kompromittiert – mit einer Backdoor, die monatelang unentdeckt blieb.

Was passiert ist

Ein Käufer übernahm ein komplettes Plugin-Portfolio und schleuste unauffällig Schadcode ein. Besonders perfide: Die Backdoor blieb rund acht Monate lang inaktiv, bevor sie Anfang April 2026 gleichzeitig aktiviert wurde.

Die vollständige technische Analyse stammt aus diesem Bericht:
Original-Analyse lesen

Diese WordPress-Plugins sind betroffen

• Accordion and Accordion Slider
• Album and Image Gallery Plus Lightbox
• Audio Player with Playlist Ultimate
• Blog Designer for Post and Widget
• Countdown Timer Ultimate
• Featured Post Creative
• Footer Mega Grid Columns
• Hero Banner Ultimate
• HTML5 VideoGallery Plus Player
• Meta Slider and Carousel with Lightbox
• Popup Anything on Click
• Portfolio and Projects
• Post Category Image with Grid and Slider
• Post Grid and Filter Ultimate
• Preloader for Website
• Product Categories Designs for WooCommerce
• Responsive WP FAQ with Category (sp-faq)
• SlidersPack – All in One Image Sliders
• SP News And Widget
• Styles for WP PageNavi – Addon
• Ticker Ultimate
• Timeline and History Slider
• Woo Product Slider and Carousel with Category
• WP Blog and Widgets
• WP Featured Content and Slider
• WP Logo Showcase Responsive Slider and Carousel
• WP Responsive Recent Post Slider
• WP Slick Slider and Image Carousel
• WP Team Showcase and Slider
• WP Testimonial with Widget
• WP Trending Post Slider and Widget

Warum das so gefährlich ist

Die Plugins wirkten jahrelang vertrauenswürdig. Erst nach dem Verkauf wurden gezielt Änderungen eingebaut. Genau das macht den Angriff so gefährlich: Er nutzt bestehendes Vertrauen aus.

Einige dieser Plugins waren weit verbreitet, etwa Countdown Timer Ultimate oder Popup Anything on Click, die zuvor ganz normale Marketing-Tools waren [oai_citation:0‡InstaWP](https://instawp.com/best-wordpress-countdown-timer-plugins/?utm_source=chatgpt.com).

Der eigentliche Angriff

Der Schadcode wurde nicht nur im Plugin selbst versteckt, sondern direkt in die zentrale WordPress-Datei wp-config.php geschrieben. Dadurch blieb er auch nach Updates aktiv.

Besonders kritisch: Die manipulierten Seiten zeigten schädliche Inhalte nur für Google an. Website-Betreiber selbst sahen davon nichts.

WordPress reagiert – aber zu spät?

Alle betroffenen Plugins wurden inzwischen aus dem offiziellen Verzeichnis entfernt und teilweise automatisch deaktiviert. Dennoch zeigt der Vorfall ein strukturelles Problem: Besitzerwechsel von Plugins werden bislang nicht gesondert geprüft.

Was du jetzt tun solltest

• Prüfe, ob eines der oben genannten Plugins installiert ist
• Kontrolliere deine wp-config.php auf ungewöhnlichen Code
• Vergleiche aktuelle Dateien mit Backups
• Entferne unbekannte oder nicht gepflegte Plugins konsequent

Fazit

Der Angriff zeigt: Selbst etablierte Plugins können zum Risiko werden, wenn sich die Besitzverhältnisse ändern. Wer WordPress nutzt, sollte seine Installation regelmäßig überprüfen – und nicht blind auf bekannte Namen vertrauen.