WordPress: 31 Essential-Plugins mit Backdoor verseucht

Es ist der Albtraum jedes Webseiten-Betreibers: Ein Angreifer hat 31 beliebte WordPress-Plugins einfach aufgekauft — und sie anschließend mit einer versteckten Backdoor verseucht. Betroffen sind rund 400.000 Webseiten. Auch DEINE könnte dabei sein, ohne dass du es merkst.

DREISTER COUP: Plugins über Flippa gekauft

Der Täter erwarb das komplette Plugin-Portfolio „Essential Plugin“ (früher WP Online Support) — über 30 Plugins, in acht Jahren legitimer Entwicklung aufgebaut — für eine sechsstellige Summe über den Marktplatz Flippa. Klingt nach normalem Geschäft, war aber der Startschuss für den Angriff.

Denn der allererste Code-Commit des neuen Besitzers war eine PHP-Deserialisierungs-Backdoor. Sie schlummerte rund acht Monate unauffällig in den Plugins — und wurde dann im April 2026 scharf geschaltet.

SO funktioniert die Falle: Spam nur für Google

Einmal aktiv, meldeten sich die manipulierten Plugins bei einem Server namens analytics.essentialplugin.com (dem Command-and-Control-Server) und luden dort beliebige Schad-Inhalte nach. Besonders perfide: Die eingeschleusten Spam-Links, Weiterleitungen und Fake-Seiten wurden nur dem Googlebot angezeigt — für dich als Betreiber blieb alles unsichtbar (sogenanntes Cloaking).

Das Ziel: Googles Suchergebnisse vergiften und fremden Spam über deine vertrauenswürdige Domain pushen. Deine Seite wird zum Spam-Schleuder — und du bekommst es ohne genaue Prüfung gar nicht mit.

REAKTION: WordPress.org zieht den Stecker

Am 7. April 2026 reagierte WordPress.org hart: Alle 31 Plugins des Portfolios wurden gepatcht und dauerhaft aus dem Verzeichnis entfernt. Auch WordPress.com meldete sich (Bericht vom 21. Mai): Das Sicherheits-Team identifizierte betroffene gehostete Seiten, baute eine DNS-Sperre gegen die Angreifer-Domain ein und entfernte den Schadcode aus den betroffenen Umgebungen.

EXTRA-TIPP: So prüfst du deine eigene Seite

1. Plugin-Liste checken: Schau im WordPress-Backend nach Plugins aus dem Hause „Essential Plugin“ / „WP Online Support“. Findest du eins, das aus dem Verzeichnis verschwunden ist, ist Vorsicht angesagt.

2. Cloaking aufdecken: Nutze die URL-Prüfung in der Google Search Console oder rufe deine Seite mit einem Googlebot-User-Agent ab. So siehst du, was Google sieht — und ob fremder Spam auftaucht.

3. Aufräumen: Entferne verdächtige Plugins, sperre die Domain analytics.essentialplugin.com und prüfe deine .php-Dateien auf unbekannten Deserialisierungs-Code.

FAZIT: Vertrauen ist gut, Kontrolle ist Pflicht

Dieser Fall zeigt eine fiese neue Masche: Nicht hacken, sondern kaufen — und dann von innen vergiften. Für dich heißt das: Auch etablierte Plugins brauchen Aufmerksamkeit. Halte deine Erweiterungen aktuell, miste ungenutzte aus und behalte im Blick, wer hinter deinen Plugins steckt.

Häufige Fragen

Woran erkenne ich, ob meine Seite betroffen ist?

Prüfe, ob Plugins aus dem Portfolio „Essential Plugin“ bzw. „WP Online Support“ installiert sind, die inzwischen aus dem WordPress-Verzeichnis entfernt wurden. Ein Warnsignal ist außerdem Spam, der nur in den Google-Ergebnissen, aber nicht beim normalen Seitenaufruf auftaucht.

Was ist Cloaking und warum ist es so gefährlich?

Beim Cloaking wird dem Googlebot ein anderer Inhalt gezeigt als normalen Besuchern. Hier wurden Spam-Links und Fake-Seiten nur für Google eingeblendet. So bleibt der Angriff für dich unsichtbar, schadet aber deinem Ranking und deinem Ruf bei Google massiv.

Was muss ich jetzt konkret tun?

Entferne betroffene Plugins, prüfe deine Seite über die Google Search Console auf versteckten Spam, sperre die Command-and-Control-Domain und kontrolliere deine PHP-Dateien auf eingeschleusten Code. Im Zweifel ein sauberes Backup von vor dem April 2026 zurückspielen.

Quellen & weiterführende Links:

WORDPRESS-SCHOCK! Hacker kauft 31 Plugins — und schmuggelt JETZT eine Backdoor auf 400.000 Seiten