WordPress-Angriff: 1,2 Millionen Websites durch Supply-Chain-Lücke gefährdet
17.06.2026 - 07:32:39 | boerse-global.de
Mehr als 1,2 Millionen Websites sind potenziell von einer vollständigen Übernahme durch Angreifer bedroht.
Der Vorfall traf die Infrastruktur von Awesome Motive, einem der größten Anbieter von WordPress-Tools. Die Angreifer schleusten bösartigen JavaScript-Code in Dateien ein, die über Content Delivery Networks (CDNs) ausgeliefert wurden. Betroffen sind vor allem die weit verbreiteten Marketing- und Engagement-Plugins OptinMonster, TrustPulse und PushEngage.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses E-Book: Cyber Security Trends jetzt herunterladen
Schwachstelle in UpdraftPlus als Einfallstor
Die Angriffskette begann am 12. Juni 2026. Die Täter nutzten eine Sicherheitslücke in der Backup-Software UpdraftPlus (CVE-2026-10795) aus. Der Schwachstelle wurde ein CVSS-Score von 8,1 zugewiesen – ein kritischer Wert. Obwohl das Sicherheitsupdate bereits am 5. Juni veröffentlicht worden war, gelang es den Angreifern, über einen Marketing-Server einen CDN-API-Schlüssel zu stehlen.
Mit diesem Schlüssel konnten die Angreifer legitime CDN-Dateien manipulieren – darunter solche auf den Domains a.omappapi.com und clientcdn.pushengage.com. Die ersten schädlichen Aktivitäten wurden am 12. Juni zwischen 22:17 und 22:42 UTC registriert. Besonders lang zog sich der Angriff auf PushEngage hin: Hier blieb die Kompromittierung teilweise bis zum 14. Juni aktiv.
Gezielte Angriffe nur auf Administratoren
Die eingeschleuste Schadsoftware verfolgte eine raffinierte Strategie: Sie wurde nur aktiv, wenn ein Seitenadministrator im WordPress-Dashboard eingeloggt war. Normale Besucher bemerkten nichts – die Angreifer blieben so lange unentdeckt.
Sobald die Bedingung erfüllt war, erstellten die Skripte automatisch neue Administratorkonten. Besonders häufig tauchte der Benutzername "developer_api1" auf oder Varianten mit dem Präfix "dev_". Zusätzlich installierte die Malware versteckte Hintertür-Plugins, die sich als harmlose Werkzeuge tarnten – etwa als "Content Delivery Helper" oder "Database Optimizer".
Diese Hintertüren ermöglichten den Abfluss von Daten an eine Kommando- und Kontrollzentrale (C2) unter der Domain tidio.cc. Die Domain war bereits am 28. April 2026 registriert worden – die Angreifer hatten also monatelang Vorbereitungszeit. Zur Verschlüsselung der Kommunikation nutzten sie einen spezifischen XOR-Schlüssel (jX9kM2nP4qR6sT8v).
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. Anti-Phishing-Paket für Unternehmen kostenlos anfordern
Weitere Angriffe im Awesome-Motive-Ökosystem
Die Sicherheitslücke beschränkte sich nicht auf die drei Haupt-Plugins. Anfang der Woche wurde bekannt, dass auch Uncanny Automator betroffen war – hier wurde eine Hintertür in Version 7.3.0.5 verteilt. Dabei erbeuteten die Angreifer Kunden- und E-Mail-Adressen. Zudem wurde die Website von MonsterInsights am 13. Juni gehackt. Von dort aus verschickten die Täter Phishing-E-Mails, die eine gefälschte Version 10.3.0 des Plugins bewarben.
Der Sicherheitsdienst Patchstack berichtet, zwischen dem 14. und 15. Juni insgesamt 271 Angriffsversuche auf 13 Websites blockiert zu haben. Die Angriffe kamen von 81 verschiedenen IP-Adressen. Die meisten zielten auf die WordPress-REST-API, einige nutzten Administrationsformulare und AJAX-Anfragen.
Handlungsempfehlungen für Betreiber
Der schädliche Code ist inzwischen nicht mehr auf den betroffenen CDNs aktiv. Dennoch warnen Sicherheitsexperten: Betreiber der 1,2 Millionen gefährdeten Websites sollten dringend ihre Systeme überprüfen. Konkret empfehlen sie:
- Überprüfung der Benutzerliste auf unbekannte Administratorkonten
- Kontrolle des Plugin-Verzeichnisses auf unbekannte oder verdächtige Erweiterungen
- Durchsicht der Authentifizierungslogs und Datenbankzugriffe
Die Angriffsmethode erinnert an frühere prominente Supply-Chain-Angriffe – etwa den Polyfill-Vorfall von 2024. Auch damals nutzten Angreifer vertrauenswürdige Drittanbieter-Skripte, um an ihre Opfer zu gelangen. Für WordPress-Betreiber gilt: Wer OptinMonster, TrustPulse oder PushEngage einsetzt, sollte umgehend handeln.
