WordPress hat in seinem Repository über 63’000 Plugins, also ist es sehr wahrscheinlich, dass nicht alle Plugins hier sauber sind. Nein, ich rede jetzt nicht von AI-Slop-WordPress-Plugins, sondern von Plugins, die absichtlich böse gemacht worden sind. Es ist ein ziemlich ähnliches Problem wie NPM gerade vor ein paar Wochen hatte mit seinem Supply-Chain-Attack (Schlimme News für SyAdmin und Programmierer – NPM wurde gehackt). Oder die WordPress-Plugin-Übernahme von letzter Woche, wo ein Plugin übernommen worden ist und dann später mit einer bösen Hintertüre erweitert worden ist, die viel Ärger gemacht hat, sorry darüber habe ich nicht berichtet, da hunderte andere News-Seiten darüber berichtet haben.
Heute Morgen habe ich von meinem Hostpoint-Hoster eine E-Mail bekommen, weil ihr System bei meinem Food-, Privatblog in einem Plugin eine Sicherheitslücke entdeckt hat. In dieser E-Mail wurde ich aufgefordert, sofort das Plugin zu entfernen.
Ich habe mir das Ganze natürlich sofort angeschaut und gesehen, dass ich tatsächlich das Plugin Quick Page Post Redirect im Einsatz habe. Ich habe dann kurz alles gecheckt und gesehen, dass das Plugin von mir vor fast 10 Jahren eingebaut worden ist, als ich die Domain geändert habe – aber danach habe ich es nicht mehr gebraucht.
Also konnte ich es sofort löschen.
Ich bin dann im Laufe des Tages auf einen anderen Blogbeitrag gestossen, der gerade auch über das Thema berichtet hat.
Und zwar hat er alles ziemlich schön erklärt (WordPress Plugin Hijacked in 2020 Hid a Dormant Backdoor for Years).
Ich erzähle jetzt hier nur die Kurzversion.
Anscheinend wurde 2015 das Plugin übernommen und 2022 wurde die Hintertüre eingebaut.
Diese Hintertüre hat es dem Plugin erlaubt, fremden Code in die Seite einzubinden – vermutlich für SEO-Spam.
Ja, ein sehr spannender Fall, der erst nach Jahren aufgefallen ist. WordPress hat übrigens das Plugin am 14. April 2026 geschlossen.
Fazit:
Ja, das ist wieder ein typischer Fall für einen WordPress-Hack. Ein Plugin, das von vielen Leuten eingesetzt wird (70’000 Webseiten hier), wird übernommen und über mehrere Monate / Jahre wird böser Code eingeschleust und zack hat man die Sauerei in der Webseite.
Ich sage schon lange, dass, wenn ein Plugin von jemand anderem übernommen wird, eigentlich alle User informiert werden müssten – und zwar von WordPress. Dank dem WordPress-Krieg wissen wir ja, dass der Matt dafür eigentlich das Recht hat – er weiss genau, welche Plugins wir installiert haben. Also wäre so eine Pushmeldung technisch wirklich möglich.
Das würde schon viel Ärger uns ersparen, wenn wir wüssten, dass ein Plugin übernommen worden ist und wir uns dann entscheiden könnten, ob wir es noch wollen oder nicht.
Das andere wäre, dass, wenn WordPress ein Plugin sperrt und wir das einsetzen, wir ebenfalls mit einer Pushnachricht darüber informiert werden sollten.
Also liebe Leserinnen und Leser – wer dieses Plugin jetzt noch im Einsatz hat, sollte es sofort löschen.
0 Kommentare