WordPress-Plugin seit 2020 gehackt, um bösartigen Code stillschweigend einzuschleusen
Ein massiver Angriffsvektor in Lieferkette wurde Quick Page/Post Redirect Plugin entdeckt, einem beliebten WordPress-Plugin mit über 70.000 aktiven Installationen.
Kurzfassung
Warum das wichtig ist
- Ein massiver Angriffsvektor in Lieferkette wurde Quick Page/Post Redirect Plugin entdeckt, einem beliebten WordPress-Plugin mit über 70.000 aktiven Installationen.
- Der Sicherheitsforscher Austin Ginder entdeckte eine inaktive Hintertür, die vor fünf Jahren eingeführt wurde und stillschweigend beliebigen Code in Websites injiziert.
- Der bösartige Code umging offizielle Sicherheitsüberprüfungen, indem er einen benutzerdefinierten Remote-Update-Checker nutzte, und verwandelte das Plugin damit effektiv in ein Vehikel für Parasit-SEO und Remote Code Execution.
Hintertürartiges WordPress-Plugin Die Untersuchung begann, als routinemäßige Sicherheitsüberprüfungen einer Hosting-Flotte Anomalien in der Plugin-Version 5.2.3 meldeten. Während die betroffenen Websites meldeten, Version 5.2.3 zu laufen, stimmten die Datei-Hashes nicht mit denen der offiziellen Version im WordPress-Repository überein.
Die manipulierten Dateien enthielten eine nicht autorisierte Funktion, die einen Drittanbieter-Server kontaktierte und den zurückgegebenen Inhalt direkt in die Website-Seiten injizierte. Um der Erkennung zu entgehen, wurde die Injektion speziell vor angemeldeten Administratoren versteckt und wurde nur für normale Besucher und Suchmaschinen-Crawler ausgelöst.
Der Kompromiss wurde durch einen hochkomplexen, mehrstufigen Prozess ausgeführt, der zwei unterschiedliche Hintertüren beinhaltete. Die aktive Hintertür war eine gebündelte Kopie einer Plugin-Update-Prüfer-Bibliothek, die so konfiguriert war, dass sie einen , anstatt die offizielle WordPress-Infrastruktur.
Dieser Mechanismus ermöglichte es dem böswilligen
Dieser Mechanismus ermöglichte es dem böswilligen Akteur, unbefugte Updates mit vollen Administratorrechten zu pushen. Die passive Hintertür war die injizierte Nutzlast selbst, die leise versteckten Inhalt anzeigt.
Obwohl der Command-and-Control-Server derzeit offline und die Hintertür inaktiv ist, bleibt der Update-Mechanismus voll funktionsfähig und könnte jederzeit reaktiviert werden. Ein Angriff in der Lieferkette Eine ausführliche Analyse des Commit-Verlaufs des Plugins ergab, dass der Angriff vom ursprünglichen Autor des Plugins, anadnet, orchestriert wurde.
Der Entwickler hat absichtlich den bösartigen Self-Updater Ende 2020 in das offizielle Repository eingehämmert, was es ermöglichte, auf Tausende äter verteilte der Autor die manipulierte Nutzlast über seinen privaten Server, bevor er den benutzerdefinierten Updater leise aus dem offiziellen Quellcode entfernte.
Dieses bewusste Manöver löschte offensichtliche Spuren
Dieses bewusste Manöver löschte offensichtliche Spuren des Kompromittierung aus dem offiziellen Repository, während bestehende Installationen dauerhaft an die Infrastruktur des Angreifers gebunden blieben.
Das WordPress-Plugin-Review-Team hat das Quick Page/Post Redirect Plugin im April 2026 vorläufig aus dem Verzeichnis entfernt, bis eine vollständige Untersuchung abgeschlossen ist. Da Angreifer Versionsnummern fälschen können, versagen herkömmliche Schwachstellenscanner oft bei der Erkennung dieser Art.
Laut einem Bericht Administratoren das integrierte Kommandozeilen-Tool , um Plugin-Prüfsummen mit dem offiziellen Repository abzugleichen.
Eine Abweichung deutet auf eine kompromittierte
Eine Abweichung deutet auf eine kompromittierte Datei hin, und Sicherheitsexperten empfehlen, das betroffene Plugin vollständig zu deinstallieren und stattdessen aktiv gewartete Alternativen zu nutzen. Sie uns auf
Kontaktieren Sie uns, um Ihre Geschichten zu präsentieren. Der Beitrag „WordPress Plugin Hacked Since 2020 to Inject Malicious Code Silently“ erschien zuerst bei Cyber Security News.
Thema weiterverfolgen
Interne Verlinkung
Im Kontext weiterlesen
Diese weiterfuehrenden Links verbinden das Thema mit relevanten Archivseiten, Schlagwoertern und inhaltlich nahen Artikeln.
Technologie Archiv
Weitere Meldungen aus derselben Hauptkategorie.
Mehr von Cyber Security News
Alle veroeffentlichten Inhalte derselben Quelle im Archiv.
Jenkins-Plugins mit hoher Schwere: Sicherheitslücken wie Path Traversal und gespeicherte XSS
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Schwachstellen in der Google Gemini CLI ermöglichen Angreifern die Ausführung von Befehlen auf Host-Systemen
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Originaltitel
- WordPress Plugin Hacked Since 2020 to Inject Malicious Code Silently
- Canonical
- https://cybersecuritynews.com/wordpress-plugin-hacked/
- Quell-URL
- https://cybersecuritynews.com/wordpress-plugin-hacked/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
Jenkins-Plugins mit hoher Schwere: Sicherheitslücken wie Path Traversal und gespeicherte XSS
Jenkins veröffentlichte einen Sicherheitswarnung, Patches für sieben Plugin-Schwachstellen detailliert, darunter hochkritische Path Traversal- Stored Cross-Site Scripting (XSS)-Fehler.
01.05.2026
Live Redaktion
Schwachstellen in der Google Gemini CLI ermöglichen Angreifern die Ausführung von Befehlen auf Host-Systemen
Eine kritische Remote-Code-Execution-Schwachstelle in Google Gemini CLI und ihrem zugehörigen GitHub Action.
01.05.2026
Live Redaktion
5 Dyson-Produkte, von denen Sie wahrscheinlich nicht wussten, dass sie existieren
Oft Dyson die erste Marke, die einem in Sinn kommt, wenn jemand Staubsauger erwähnt.
01.05.2026
Live Redaktion
Neuralink enthüllt chirurgischen Roboter zur vollautomatischen Implantation von Gehirnchips
Elon Musks Gehirn-Computer-Schnittstellen-Technologie (BCI) schreitet in einem bemerkenswerten Tempo voran.
01.05.2026
Live Redaktion