Warum gerade scheinbar harmlose Plugins zum Einfallstor für Angriffe werden – und weshalb Updates nicht immer sicher sind.
Warum Plugins ein strukturelles Sicherheitsrisiko darstellen
Da es nahezu unmöglich ist, WordPress ohne entsprechende Plugins zu betreiben, zählen gerade diese funktionalen Erweiterungen zu den bevorzugten Angriffszielen von Hackern und Spammern. Jedes installierte Plugin erweitert nämlich nicht nur die Funktionalität, sondern auch die Vertrauenskette („Trust Chain“) des Systems. Plugins laufen mit denselben Rechten wie der WordPress-Core und erhalten über den Update-Mechanismus direkten Zugriff auf produktive Systeme
Supply-Chain-Angriffe: Wenn Vertrauen ausgenutzt wird
Besonders hervorzuheben ist dabei die sogenannte Supply-Chain-Methode: Sie kommt unerwartet und gewissermaßen durch die Hintertür. Hier wird nicht direkt das System oder die Webseite angegriffen, sondern ein vorgeschaltetes Bindeglied der Infrastruktur: der Plugin-Anbieter.
Der konkrete Fall: Schadcode durch manipulierte Updates
Ein solcher Fall sorgte Anfang April für Aufsehen. Ein etablierter Anbieter von WordPress-Plugins wurde an einen Investor verkauft, der – „with a background in SEO, crypto, and online gambling marketing“ (Link siehe unten) – die über Jahre aufgebaute Reputation und das Vertrauen innerhalb kürzester Zeit verspielt hat. Ab diesem Zeitpunkt wurden sämtliche Plugins bzw. deren Updates aus diesem Portfolio mit Schadcode ausgeliefert, der auf den betroffenen WordPress-Systemen eine technisch ausgefeilte Backdoor installierte. Besonders problematisch für die Betroffenen war, dass der manipulierte Inhalt ausschließlich für den Googlebot sichtbar war.
Austin Ginder listet in seinem Artikel „Someone bought 30 WordPress Plugins and planted a backdoor in all of them“ die wichtigsten betroffenen Plugins auf, in denen er Schadcode identifizieren konnte. Für einige davon hat er sogar bereinigte Versionen erstellt, sodass ein Weiterbetrieb zumindest vorerst möglich ist. Langfristig stellt sich jedoch die Frage, wer die Weiterentwicklung und Wartung übernimmt. Ohne engagierte Entwickler, die einen Fork erstellen, wird man früher oder später auf Alternativen ausweichen müssen.
Warum gerade „unauffällige“ Plugins gefährlich sind
Angesichts der Vielzahl an Plugins, die heute auf WordPress-Webseiten im Einsatz sind, ist es kaum möglich, Eigentümerwechsel im Blick zu behalten. Insbesondere Erweiterungen, die über Jahre hinweg unauffällig ihren Dienst verrichten, geraten leicht in Vergessenheit. Genau auf solche „Plugins der zweiten Reihe“ haben es Angreifer abgesehen. Während bekannte und weit verbreitete Plugins unter ständiger Beobachtung stehen, fehlt bei kleineren Lösungen oft die kritische Aufmerksamkeit.
Warum Angriffe oft lange unentdeckt bleiben
Zudem erfolgt der Angriff selten unmittelbar: Nach einer Infektion kann es Monate dauern, bis der Schadcode aktiv genutzt wird. Die Zeiten, in denen das Layout einer Webseite zerschossen war oder auf der Startseite eine Nachricht ala „Sie wurden gehacked“ zu finden war, sind lange vorbei. Im obigen Beispiel wurde der manipulierte Content nur dem Googlebot ausgespielt.
Was Website-Betreiber konkret tun können
Ehrlich gesagt: Eine einfache Antwort gibt es nicht. Ein Ansatz könnte sein, den Einsatz von Plugins so weit wie möglich zu reduzieren – auch wenn sich das nur begrenzt umsetzen lässt. Eigenentwicklungen sind ebenfalls nicht für jeden Betreiber eine praktikable Lösung. Gerade bei Agenturen besteht die Gefahr, sich in neue Abhängigkeiten zu begeben – ein Umstand, den viele ursprünglich durch die Nutzung des WordPress-Ökosystems vermeiden wollten.
Sie sind unsicher, ob Ihre WordPress-Installation betroffen sein könnte? Wir prüfen Ihre Website auf Schwachstellen und zeigen konkrete Verbesserungsmöglichkeiten auf.
