Mehr als 30 **WordPress**-Plugins aus dem **EssentialPlugin**-Paket wurden mit bösartigem Code kompromittiert, der unbefugten Zugriff auf Websites ermöglicht, die sie verwenden. Ein böswilliger Akteur führte den Backdoor-Code letztes Jahr ein, begann aber erst kürzlich damit, ihn über Updates an Benutzer zu verteilen, wobei Spam-Seiten und Weiterleitungen basierend auf Anweisungen von einem Command-and-Control (C2) Server generiert wurden. Die Kompromittierung betrifft Plugins mit Hunderttausenden von aktiven Installationen und wurde von **Austin Ginder**, Gründer des Managed **WordPress**-Hosting-Anbieters **Anchor Hosting**, entdeckt, nachdem er einen Tipp über ein Add-on erhalten hatte, das Code enthielt, der Dritten den Zugriff erlaubte. Weitere Untersuchungen von **Ginder** ergaben, dass seit August 2025 eine Backdoor in allen Plugins des **EssentialPlugin**-Pakets vorhanden war, nachdem das Projekt im Rahmen eines sechsstelligen Deals von einem neuen Eigentümer übernommen wurde. **EssentialPlugin**, gegründet 2015 als WP Online Support und 2021 umbenannt, ist ein **WordPress**-Entwicklungsunternehmen, das Slider, Galerien, Marketing-Tools, **WooCommerce**-Erweiterungen, SEO/Analytics-Utilities und Themes anbietet. Laut **Ginder** blieb die Backdoor bis vor kurzem inaktiv, als sie lautlos externe Infrastruktur kontaktierte, um eine Datei ('wp-comments-posts.php') abzurufen, die Malware in 'wp-config.php' einschleust. Die heruntergeladene Malware ist so konzipiert, dass sie für Website-Besitzer unsichtbar ist und nutzt Ethereum-basierte C2-Adressauflösung zur Umgehung. Je nach erhaltenen Anweisungen kann die Malware "Spam-Links, Weiterleitungen und gefälschte Seiten" abrufen. "Der eingeschleuste Code war ausgeklügelt. Er rief Spam-Links, Weiterleitungen und gefälschte Seiten von einem Command-and-Control-Server ab. Er zeigte den Spam nur **Googlebot** an, wodurch er für Website-Besitzer unsichtbar war", [erklärte Ginder](https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/). Analysen der **WordPress**-Sicherheitsplattform **PatchStack** [zeigen](http://patchstack.com/articles/critical-supply-chain-compromise-on-20-plugins-by-essentialplugin/), dass die Backdoor nur funktionierte, wenn der Endpunkt 'analytics.essentialplugin.com' mit bösartigen serialisierten Inhalten zurückkehrte. ### WordPress-Maßnahmen und Infektionsstatus WordPress.org reagierte schnell auf die Berichte über bösartige Aktivitäten, indem es die Plugins schloss und ein erzwungenes Update an die Websites pushte, um die Kommunikation der Backdoor zu neutralisieren und ihren Ausführungspfad zu deaktivieren. Die Entwickler warnten jedoch, dass diese Maßnahme die Kernkonfigurationsdatei wp-config nicht bereinigte, die Websites mit ihren Datenbanken verbindet und wichtige Einstellungen enthält. Das WordPress.org Plugins Team warnte auch Administratoren von Websites, auf denen ein **EssentialPlugin**-Produkt läuft, dass die Backdoor zwar an einem bekannten Ort als Datei namens `wp-comments-posts.php` liegt, die der legitimen Datei `wp-comments-post.php` ähnelt, die Malware aber auch in anderen Dateien versteckt sein könnte. **BleepingComputer** hat **EssentialPlugins** um einen Kommentar zu dem gemeldeten bösartigen Commit gebeten, der nach der Übernahme stattfand, hat jedoch bis zum Zeitpunkt der Veröffentlichung keine Antwort erhalten.