Backdoor in 30+ WordPress-Plugins: PHP-Deserialisierung & C2 in Ethereum-Vertrag
Der Backdoor erschien in dem ersten SVN-Commit des neuen Besitzers im August 2025. In der Datei class-anylc-admin.php wurden 191 Codezeilen unter dem Vorwand von Kompatibilitätsprüfungen für WordPress 6.8.2 hinzugefügt. Wichtige Komponenten:
- Die Methode
fetch_ver_info()ruft Daten von einem entfernten Server mitfile_get_contents()ab und wendet@unserialize()an. - Die Methode
version_info_clean()führt beliebige Funktionen aus – Funktionsname, Argumente und Payload stammen aus der deserialisierten Antwort. - Ein REST-API-Endpunkt mit
permission_callback: __return_true– keine Authentifizierung erforderlich.
Dies ist ein klassischer Exploit für beliebige Funktionsaufrufe. Der Backdoor lag acht Monate lang schlafend, sammelte still Installationen, um Verbindungen zum ursprünglichen Entwickler zu trennen.
Die Aktivierung erfolgte zwischen dem 5. und 6. April 2026: Das Modul wpos-analytics lud wp-comments-posts.php von analytics.essentialplugin.com herunter und fügte PHP-Code in wp-config.php ein. Die Payload implementiert eine Tarnung für Googlebot – Spam-Links, Umleitungen und falsche Seiten, die nur Suchmaschinen-Crawler sehen können.
Resiliente C2-Infrastruktur über Ethereum
Der C2-Domain ist nicht fest codiert oder DNS-basiert. Stattdessen fragt der Backdoor öffentliche Ethereum-RPC-Endpunkte (Infura, Alchemy) ab und liest die aktuelle Serveradresse direkt aus einem Smart Contract.
Vorteile für den Angreifer:
- Eine einzige Transaktion (~$3 Gas) aktualisiert die Domain für alle infizierten Sites. Domain-Takedowns sind wirkungslos – der Vertrag lebt ewig auf der Blockchain.
- Nachteile: Transaktionen sind öffentlich – Überwachung des Vertrags möglich. Blockierung von RPC-Zugriffen auf Hosting-/WAF-Ebene funktioniert – birgt aber Risiko für legitime dApps.
Kompromiss: Dezentralisierung erschwert die Abschaltung, vereinfacht aber die Erkennung durch On-Chain-Analyse.
Kaufgeschichte und Hintergrund
Das Unternehmen, gegründet 2015 (Minesh Shah et al.), wurde als Essential Plugin neu aufgelegt und betrieb über 30 kostenlose Plugins mit Premium-Tarifen. Der Umsatz sank bis Ende 2024 um 35–45 % und wurde auf Flippa angeboten. Käufer "Kris", erfahren in SEO, Kryptowährungen und Online-Casinos, zahlte eine sechsstellige Summe.
Ähnliches Muster: 2017 kaufte "Daley Tias" Display Widgets (200.000 Installationen) für 15.000 US-Dollar und führte Spam ein. Die Skalierung erweiterte sich auf über 30 Plugins mit fortgeschrittener Infrastruktur.
Vollständige Liste der kompromittierten Plugins
WordPress.org hat sie am 7. April 2026 entfernt. Sofort prüfen und löschen:
- Accordion und Accordion Slider
- Album und Bildergalerie Plus Lightbox
- Audio Player mit Playlist Ultimate
- Blog Designer für Post und Widget
- Countdown Timer Ultimate
- Featured Post Creative
- Footer Mega Grid Columns
- Hero Banner Ultimate
- HTML5 VideoGallery Plus Player
- Meta Slider und Carousel mit Lightbox
- Popup Anything on Click
- Portfolio und Projekte
- Post-Kategorie-Bild mit Raster und Slider
- Post Grid und Filter Ultimate
- Preloader für Website
- Produkt-Kategorien-Designs für WooCommerce
- Responsive WP FAQ mit Kategorie (sp-faq)
- SlidersPack — All-in-One-Bildschlitten
- SP News And Widget
- Styles für WP PageNavi — Addon
- Ticker Ultimate
- Timeline und Historie Slider
- Woo Produkt-Slider und Carousel mit Kategorie
- WP Blog und Widgets
- WP Featured Content und Slider
- WP Logo Showcase Responsive Slider und Carousel
- WP Responsive Recent Post Slider
- WP Slick Slider und Bildcarousel
- WP Team Showcase und Slider
- WP Testimonial mit Widget
- WP Trending Post Slider und Widget
Reinigungscheckliste
Erzwungene Updates (z. B. 2.6.9.1) fügten nur return; hinzu – das Modul wpos-analytics bleibt aktiv. Sofort handeln:
wp plugin list --format=csv– Überprüfung der Autoren (Essential Plugin, WP Online Support).- Löschen und Neoinstallation von vertrauenswürdigen Quellen.
grep -E "wp-comments-posts|file_get_contents|unserialize" wp-config.phpgrep -E "0x[a-f0-9]{40}|eth_call|infura|alchemy" wp-config.phpstat wp-config.php(Änderungszeitpunkt prüfen).- Logs überprüfen:
analytics.essentialplugin.com, Ethereum-RPC-Aktivität März–April 2026. - Nach der Reinigung Site erneut in Search Console einreichen.
Wichtige Hinweise:
- Backdoors existieren in Versionen nach August 2025 – Code bleibt auch nach Updates erhalten.
- C2 in Ethereum-Verträgen widersteht DNS-Blockaden – überwachen Sie RPC-Nutzung.
- Tarnung betrifft nur Googlebot – Site wirkt für Nutzer sauber.
- Lieferkettenangriffe skaliert über Flippa ohne angemessene Due Diligence.
- Code-Diff vs. Changelog-Audit ist für Produktionsumgebungen obligatorisch.
Schutz vor Lieferkettenangriffen
WordPress.org sollte Maintainer-Verifikation und automatisierte SVN-Diff-Checks einführen. Für mittlere/senior Entwickler:
- Automatisierte Diffs: Changelog erwähnt "Kompatibilität" + 191 zusätzliche Zeilen = Warnsignal.
- WAF-Regeln: Blockieren von RPC-Aufrufen von verdächtigen Endpunkten.
- Monitoring: Verfolgung von On-Chain-Vertragstransaktionen und ausgehenden Verbindungen.
Die Skalierung ist gewachsen – von 9 Plugins 2017 auf heute über 30. Auditieren Sie Ihre Sites sofort.
— Editorial Team
Noch keine Kommentare.