ShapedPlugin Updates gehackt um WordPress-Seiten zu infizieren – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

ShapedPlugin Updates gehackt um WordPress-Seiten zu infizieren

Der beliebte WordPress-Plugin-Entwickler ShapedPlugin hat unwissentlich über sein offizielles Update-System schädliche Software an seine Kunden verteilt. Der Supply-Chain-Angriff gefährdet Tausende von Websites.

Ein Computerbildschirm zeigt das WordPress-Logo und eine Plugin-Update-Benachrichtigung mit einem Gefahrensymbol im Hintergrund.

Was ist passiert

Das WordPress-Ökosystem wurde erneut von einem Angriff erschüttert, der von einer vertrauenswürdigen Quelle ausging. Am 18. Juni 2026 gab der beliebte Plugin-Entwickler ShapedPlugin bekannt, dass mehrere seiner Premium-Plugins Opfer eines Supply-Chain-Angriffs geworden sind. Angreifer kompromittierten die offizielle Update-Infrastruktur des Unternehmens, um infizierte Plugin-Updates an zahlende Kunden zu verteilen. Diese Situation zwang Tausende von Website-Betreibern, die versuchten, durch die Aktualisierung ihrer Plugins sicher zu bleiben, unwissentlich eine Hintertür (Backdoor) auf ihren eigenen Seiten zu installieren.

Es gibt einen Grund, warum diese Art von Angriffen als „Supply-Chain-Angriffe“ bezeichnet werden. Genauso wie ein fehlerhaftes Teil in einer Produktionslinie das gesamte Produkt beeinträchtigen kann, macht in der Softwarewelt die Kompromittierung der Infrastruktur eines Entwicklers alle Kunden dieses Entwicklers zu direkten Zielen. Benutzer vertrauen und installieren Updates von einer Quelle, die sie für legitim halten – dem Plugin-Entwickler selbst. Angreifer nutzen genau diese Vertrauensbeziehung aus. Genau das ist im Fall von ShapedPlugin passiert. Anstatt Tausende von Websites einzeln zu hacken, erzielten die Angreifer eine viel größere Wirkung, indem sie die Quelle ins Visier nahmen: das Plugin-Verteilungssystem.

Der Vorfall wurde von Sicherheitsforschern bei Patchstack aufgedeckt. Die Forscher bemerkten verdächtige und verschleierte (obfuscated) Code-Schnipsel in den Updates für einige der beliebten Plugins von ShapedPlugin. Die Analyse dieses Codes ergab, dass er eine Hintertür enthielt, die es Angreifern ermöglichen würde, die volle Kontrolle über die Websites zu erlangen. Diese Hintertür ermöglichte es den Angreifern, nach Belieben neue Administratorkonten auf der Website zu erstellen. Dies ist gleichbedeutend damit, die Schlüssel zur Website direkt an den Angreifer zu übergeben. Der eigentliche Akt des „Aktualisierens“, um sicher zu bleiben, wurde bei diesem Angriff zur größten Schwachstelle.

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →

Welche Daten wurden kompromittiert

Laut dem Quellenbericht ist noch nicht klar, ob der Angriff zu einem direkten Datenleck geführt hat. Angesichts der Art des Angriffs sind die potenziellen Folgen der erlangten Kontrolle jedoch schwerwiegend. Die von den Angreifern platzierte Hintertür ermöglicht es ihnen, auf betroffenen WordPress-Sites neue Benutzer mit der höchsten Berechtigungsstufe, „Administrator“, zu erstellen. Administratorrechte auf einer WordPress-Site zu haben, bedeutet, die vollständige Kontrolle darüber zu haben.

Was kann ein Angreifer mit diesem Zugriffsniveau tun? Hier sind die potenziellen Szenarien:

  • Benutzerdaten stehlen: Persönliche Informationen aller registrierten Benutzer (E-Mail-Adressen, Namen, möglicherweise sogar Adressen und Telefonnummern) könnten gestohlen werden. Wenn die Website eine E-Commerce-Plattform ist, sind auch Kundenbestellungen und sensible Informationen gefährdet.
  • Inhaltsmanipulation: Sie könnten gefälschte Inhalte zur Website hinzufügen, bestehende Beiträge ändern oder sie vollständig löschen. Dies könnte den Ruf der Website schädigen oder dauerhaften Schaden für ihre SEO (Suchmaschinenoptimierung) verursachen.
  • Malware-Verbreitung: Sie könnten die Website nutzen, um unschuldige Besucher mit Viren oder Ransomware zu infizieren. Die Website könnte sich augenblicklich in ein Verteilungszentrum unter der Kontrolle der Angreifer verwandeln.
  • Phishing-Kampagnen: Unter Ausnutzung der Glaubwürdigkeit der Website könnten sie gefälschte Formulare und Seiten erstellen, um sensible Daten von Benutzern wie Anmeldeinformationen oder Kreditkartendetails zu stehlen.
  • Spam und SEO-Vergiftung: Sie könnten irrelevante Links in die Website einfügen, um für ihre eigenen Betrugswebsites zu werben. Dies könnte zu Strafen von Suchmaschinen führen und Ihre Website auf eine schwarze Liste setzen.

Kurz gesagt, obwohl kein direktes Datenleck gemeldet wurde, birgt die Kompromittierung eines Administratorkontos das Potenzial, dass „alles“ kompromittiert wird. Daher müssen betroffene Website-Betreiber nicht nur die Hintertür entfernen, sondern auch eine gründliche Untersuchung auf nicht autorisierte Aktivitäten auf ihren Websites durchführen.

Wie geschah der Angriff

Die technischen Details des Angriffs zeigen, wie heimtückisch Supply-Chain-Angriffe sein können. Den Angreifern gelang es, in die offizielle Update- und Verteilungsinfrastruktur von ShapedPlugin einzudringen. Wie dieser Einbruch geschah, wurde vom Unternehmen noch nicht bekannt gegeben, aber seine Folgen sind klar.

Sobald sie Zugang zum System hatten, injizierten die Angreifer ihren bösartigen Code in die anvisierten Premium-Plugins. Dabei gingen sie sehr vorsichtig vor. Der von ihnen hinzugefügte Code war verschleiert (obfuscated), um eine sofortige Entdeckung zu vermeiden. Funktionen wie `base64_decode` und `gzuncompress` werden oft verwendet, um den Code schwer lesbar zu machen. Dies hilft ihnen, automatisierten Sicherheitsscannern und oberflächlichen Code-Überprüfungen zu entgehen.

Als Benutzer eine Update-Benachrichtigung in ihren WordPress-Dashboards sahen, genehmigten sie den Vorgang in der Annahme, es handele sich um ein legitimes Entwickler-Update. Sobald das Update abgeschlossen war, war der bösartige Code in den Dateien der Website eingebettet. Insbesondere wurde festgestellt, dass die Angreifer eine Datei namens `w-sam.php` erstellt haben. Diese Datei enthielt den eigentlichen Backdoor-Code.

Diese `w-sam.php`-Datei liegt ruhend da und wartet auf einen bestimmten Befehl von außen. Die Angreifer können diese Datei jederzeit auslösen, um einen neuen Administratorbenutzer für sich auf Ihrer Website zu erstellen. Diese Methode ermöglicht es den Angreifern, lange Zeit unbemerkt im System zu bleiben. Da sie nicht versuchen, Benutzernamen oder Passwörter zu erraten, umgehen sie auch Systeme zur Erkennung von Brute-Force-Angriffen. Im Wesentlichen bestand ihre Strategie darin, einen Spion einzuschleusen und darauf zu warten, dass er die Tür von innen öffnet.

Wer ist betroffen

Dieser Angriff zielt nicht auf alle Benutzer von ShapedPlugin ab, sondern auf ein bestimmtes Segment. Das Verständnis dieser Unterscheidung ist entscheidend, um festzustellen, ob Sie gefährdet sind.

Wer ist betroffen:

  • Benutzer, die Premium- (kostenpflichtige) Plugins von ShapedPlugin erworben haben.
  • Diejenigen, die diese Plugins während des Angriffszeitraums aktualisiert haben.

Wer ist NICHT betroffen:

  • Benutzer der kostenlosen Versionen der ShapedPlugin-Plugins, die im offiziellen WordPress.org-Repository verfügbar sind. Der Angriff zielte auf das eigene private Update-System von ShapedPlugin ab, nicht auf die WordPress.org-Infrastruktur, sodass Benutzer der kostenlosen Version sicher sind.

Laut der Ankündigung von Patchstack sind die Plugins, bei denen bestätigt wurde, dass sie infizierte Updates verteilt haben:

  • Real-time Recent Post Slider
  • WP Team
  • WP Team Pro
  • Logo Carousel Pro
  • Easy Testimonial Pro
  • WP Carousel Pro
  • Smart Post Show Pro

Wenn Sie die Pro- (Premium-) Version eines dieser Plugins verwenden und kürzlich ein Update durchgeführt haben, ist Ihre Website wahrscheinlich gefährdet. Sie müssen sofort handeln.

Was Sie tun können

Wenn Sie eines der oben aufgeführten Premium-Plugins auf Ihrer Website verwenden, müssen Sie schnell, aber ohne Panik handeln, indem Sie die folgenden Schritte ausführen:

  1. Sofort aktualisieren: Nachdem ShapedPlugin von dem Angriff erfahren hatte, veröffentlichte es schnell saubere Versionen. Das Erste, was Sie tun sollten, ist, zu Ihrem WordPress-Admin-Dashboard zu gehen und diese Plugins auf ihre neuesten, sicheren Versionen zu aktualisieren. Dadurch wird der bösartige Code von Ihrer Website entfernt.
  2. Manuelle Dateiprüfung durchführen: Auch nach dem Update sollten Sie das Dateisystem Ihrer Website überprüfen, um sicherzustellen, dass die Angreifer keine anderen Spuren hinterlassen haben. Verwenden Sie den Dateimanager in Ihrem Hosting-Panel (cPanel, Plesk usw.) oder einen FTP-Client, um das Stammverzeichnis Ihrer Website und die Plugin-Ordner zu überprüfen. Suchen Sie gezielt nach einer Datei namens `w-sam.php`. Wenn Sie diese Datei finden, löschen Sie sie sofort.
  3. Benutzerkonten prüfen: Gehen Sie in Ihrem WordPress-Admin-Dashboard zum Bereich „Benutzer“. Überprüfen Sie alle Benutzer sorgfältig, insbesondere diejenigen mit der Rolle „Administrator“. Wenn Sie Administratorkonten sehen, die Sie nicht erkennen oder die verdächtig aussehen (z. B. mit seltsamen E-Mail-Adressen), löschen Sie sie sofort.
  4. Alle Passwörter ändern: Ändern Sie vorsichtshalber die Passwörter für alle Administrator- und Redakteurkonten auf Ihrer Website. Es wird auch dringend empfohlen, Ihre Passwörter für das Hosting-Panel, FTP und die Datenbank zu ändern.
  5. Sicherheitsscan durchführen: Installieren Sie ein seriöses Sicherheits-Plugin wie Wordfence oder Sucuri Security auf Ihrer Website und führen Sie einen vollständigen Scan durch. Diese Tools können Ihnen helfen, andere bösartige Dateien oder Code-Änderungen zu erkennen, die möglicherweise übersehen wurden, abgesehen von `w-sam.php`.

Was das Unternehmen sagt

Nach den Nachrichten gab ShapedPlugin eine Erklärung an seine Kunden heraus. Das Unternehmen bestätigte den Angriff und erklärte, dass es sofort saubere Updates für die betroffenen Plugins veröffentlicht habe. Sie forderten ihre Kunden nachdrücklich auf, ihre Plugins auf die neueste Version zu aktualisieren.

Das Unternehmen erklärte auch, dass es eine Untersuchung eingeleitet habe, um die Ursache dieses Sicherheitsverstoßes zu ermitteln, und Maßnahmen ergreife, um seine Infrastruktursicherheit zu stärken und ähnliche Vorfälle in Zukunft zu verhindern. Solche Ereignisse sind eine große Prüfung für Softwareentwickler, sowohl technisch als auch in Bezug auf den Ruf. Während die schnelle Veröffentlichung sauberer Updates durch das Unternehmen ein positiver Schritt ist, wird es Zeit brauchen, das Vertrauen der Benutzer zurückzugewinnen. Dieser Vorfall erinnert uns erneut daran, dass es in der digitalen Welt keine 100%ige Sicherheit gibt und dass selbst die vertrauenswürdigsten Quellen zu Zielen werden können. Sich über die neuesten Datenleck Nachrichten auf dem Laufenden zu halten, ist der beste Weg, um auf solche Risiken vorbereitet zu sein.

Quelle

https://www.bleepingcomputer.com/news/security/shapedplugin-update-flow-hacked-to-infect-wordpress-sites/

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag Sie sagten, es gab keinen Datenleck. Das Internet war anderer Meinung Nächster Beitrag → HCRG meldet Ransomware-Angriff nach einem Jahr

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.