Zurück zur Startseite

Hintertür in WordPress-Plugins: C2 in Ethereum

Hacker injizierte Hintertür in 30+ WordPress-Plugins über Kauf auf Flippa, unter Verwendung von PHP-Deserialisierung und C2 in Ethereum-Vertrag für SEO-Spam. Angriff ist blockresistent, erfordert Audit von wp-config.php und Logs. Checkliste und Schutzmaßnahmen für Entwickler.

Hacker knackte 30 WP-Plugins über Ethereum C2
Advertisement 728x90

Backdoor in 30+ WordPress-Plugins: PHP-Deserialisierung & C2 in Ethereum-Vertrag

Der Backdoor erschien in dem ersten SVN-Commit des neuen Besitzers im August 2025. In der Datei class-anylc-admin.php wurden 191 Codezeilen unter dem Vorwand von Kompatibilitätsprüfungen für WordPress 6.8.2 hinzugefügt. Wichtige Komponenten:

  • Die Methode fetch_ver_info() ruft Daten von einem entfernten Server mit file_get_contents() ab und wendet @unserialize() an.
  • Die Methode version_info_clean() führt beliebige Funktionen aus – Funktionsname, Argumente und Payload stammen aus der deserialisierten Antwort.
  • Ein REST-API-Endpunkt mit permission_callback: __return_true – keine Authentifizierung erforderlich.

Dies ist ein klassischer Exploit für beliebige Funktionsaufrufe. Der Backdoor lag acht Monate lang schlafend, sammelte still Installationen, um Verbindungen zum ursprünglichen Entwickler zu trennen.

Die Aktivierung erfolgte zwischen dem 5. und 6. April 2026: Das Modul wpos-analytics lud wp-comments-posts.php von analytics.essentialplugin.com herunter und fügte PHP-Code in wp-config.php ein. Die Payload implementiert eine Tarnung für Googlebot – Spam-Links, Umleitungen und falsche Seiten, die nur Suchmaschinen-Crawler sehen können.

Google AdInline article slot

Resiliente C2-Infrastruktur über Ethereum

Der C2-Domain ist nicht fest codiert oder DNS-basiert. Stattdessen fragt der Backdoor öffentliche Ethereum-RPC-Endpunkte (Infura, Alchemy) ab und liest die aktuelle Serveradresse direkt aus einem Smart Contract.

Vorteile für den Angreifer:

  • Eine einzige Transaktion (~$3 Gas) aktualisiert die Domain für alle infizierten Sites. Domain-Takedowns sind wirkungslos – der Vertrag lebt ewig auf der Blockchain.
  • Nachteile: Transaktionen sind öffentlich – Überwachung des Vertrags möglich. Blockierung von RPC-Zugriffen auf Hosting-/WAF-Ebene funktioniert – birgt aber Risiko für legitime dApps.

Kompromiss: Dezentralisierung erschwert die Abschaltung, vereinfacht aber die Erkennung durch On-Chain-Analyse.

Google AdInline article slot

Kaufgeschichte und Hintergrund

Das Unternehmen, gegründet 2015 (Minesh Shah et al.), wurde als Essential Plugin neu aufgelegt und betrieb über 30 kostenlose Plugins mit Premium-Tarifen. Der Umsatz sank bis Ende 2024 um 35–45 % und wurde auf Flippa angeboten. Käufer "Kris", erfahren in SEO, Kryptowährungen und Online-Casinos, zahlte eine sechsstellige Summe.

Ähnliches Muster: 2017 kaufte "Daley Tias" Display Widgets (200.000 Installationen) für 15.000 US-Dollar und führte Spam ein. Die Skalierung erweiterte sich auf über 30 Plugins mit fortgeschrittener Infrastruktur.

Vollständige Liste der kompromittierten Plugins

WordPress.org hat sie am 7. April 2026 entfernt. Sofort prüfen und löschen:

Google AdInline article slot
  • Accordion und Accordion Slider
  • Album und Bildergalerie Plus Lightbox
  • Audio Player mit Playlist Ultimate
  • Blog Designer für Post und Widget
  • Countdown Timer Ultimate
  • Featured Post Creative
  • Footer Mega Grid Columns
  • Hero Banner Ultimate
  • HTML5 VideoGallery Plus Player
  • Meta Slider und Carousel mit Lightbox
  • Popup Anything on Click
  • Portfolio und Projekte
  • Post-Kategorie-Bild mit Raster und Slider
  • Post Grid und Filter Ultimate
  • Preloader für Website
  • Produkt-Kategorien-Designs für WooCommerce
  • Responsive WP FAQ mit Kategorie (sp-faq)
  • SlidersPack — All-in-One-Bildschlitten
  • SP News And Widget
  • Styles für WP PageNavi — Addon
  • Ticker Ultimate
  • Timeline und Historie Slider
  • Woo Produkt-Slider und Carousel mit Kategorie
  • WP Blog und Widgets
  • WP Featured Content und Slider
  • WP Logo Showcase Responsive Slider und Carousel
  • WP Responsive Recent Post Slider
  • WP Slick Slider und Bildcarousel
  • WP Team Showcase und Slider
  • WP Testimonial mit Widget
  • WP Trending Post Slider und Widget

Reinigungscheckliste

Erzwungene Updates (z. B. 2.6.9.1) fügten nur return; hinzu – das Modul wpos-analytics bleibt aktiv. Sofort handeln:

  • wp plugin list --format=csv – Überprüfung der Autoren (Essential Plugin, WP Online Support).
  • Löschen und Neoinstallation von vertrauenswürdigen Quellen.
  • grep -E "wp-comments-posts|file_get_contents|unserialize" wp-config.php
  • grep -E "0x[a-f0-9]{40}|eth_call|infura|alchemy" wp-config.php
  • stat wp-config.php (Änderungszeitpunkt prüfen).
  • Logs überprüfen: analytics.essentialplugin.com, Ethereum-RPC-Aktivität März–April 2026.
  • Nach der Reinigung Site erneut in Search Console einreichen.

Wichtige Hinweise:

  • Backdoors existieren in Versionen nach August 2025 – Code bleibt auch nach Updates erhalten.
  • C2 in Ethereum-Verträgen widersteht DNS-Blockaden – überwachen Sie RPC-Nutzung.
  • Tarnung betrifft nur Googlebot – Site wirkt für Nutzer sauber.
  • Lieferkettenangriffe skaliert über Flippa ohne angemessene Due Diligence.
  • Code-Diff vs. Changelog-Audit ist für Produktionsumgebungen obligatorisch.

Schutz vor Lieferkettenangriffen

WordPress.org sollte Maintainer-Verifikation und automatisierte SVN-Diff-Checks einführen. Für mittlere/senior Entwickler:

  • Automatisierte Diffs: Changelog erwähnt "Kompatibilität" + 191 zusätzliche Zeilen = Warnsignal.
  • WAF-Regeln: Blockieren von RPC-Aufrufen von verdächtigen Endpunkten.
  • Monitoring: Verfolgung von On-Chain-Vertragstransaktionen und ausgehenden Verbindungen.

Die Skalierung ist gewachsen – von 9 Plugins 2017 auf heute über 30. Auditieren Sie Ihre Sites sofort.

— Editorial Team

Advertisement 728x90

Weiterlesen