Hintertür im WordPress-Plugin-Update entdeckt

2 weeks ago 9

Sechs Stunden reichten den Angreifern. Am 7. April 2026 lieferte das Update-System von Nextend einen vollständig vom Angreifer geschriebenen Build des Pro-Plugins Smart Slider 3 in der Version 3.5.1.35 aus. Jede Site, die in diesem Fenster aktualisierte, hatte anschließend ein Remote-Access-Toolkit installiert.

Kommt Ihnen das bekannt vor? Erst im April hatten wir den Flippa-Verkauf der Essential-Plugins dokumentiert. Der neue Vorfall ist anders gelagert, trifft aber denselben Nerv: Niemand prüft, was tatsächlich aus dem Update-Kanal kommt.

Das Wichtigste in Kürze

Nextends Update-Infrastruktur wurde am 7. April 2026 kompromittiert
Smart Slider 3 Pro 3.5.1.35 enthielt eine voll bewaffnete Backdoor
Patchstack-Whitepaper 2026 fordert verbindliche VDP-Programme für kommerzielle Plugins
Über 22 neue WordPress-Schwachstellen pro Tag laut Patchstack-Trend

Was lief beim Smart-Slider-Update schief?

Offener Karton mit Text, oranges Etikett und zerbrochenes Vorhängeschloss auf weißem Grund

Smart Slider 3 läuft auf rund 800.000 WordPress-Sites, davon ein nennenswerter Anteil auf der kommerziellen Pro-Variante. Patchstack hat den Vorfall in einer eigenen Analyse als Lieferketten-Bruch klassifiziert. Eine unautorisierte Partei verschaffte sich Zugriff auf Nextends Update-Server und schob über den offiziellen Kanal eine manipulierte Pro-Version 3.5.1.35 nach.

Der Schaden ist im Detail unangenehm. Der Build enthielt nicht nur eine kleine Hintertür, sondern ein komplettes Remote-Access-Toolkit. Jede Site, die im sechsstündigen Auslieferungsfenster aktualisierte, lud sich damit eine fertige Fernsteuerung ins WordPress-Verzeichnis.

Warum VDP-Pflicht und kein Vertrauen mehr?

Ein offenes Vorhängeschloss aus Messing mit orangem Anhänger „SICHER IST SICHER“

Patchstack hat im Februar 2026 sein jährliches State of WordPress Security veröffentlicht. Die Kernforderung: Jedes kommerzielle Plugin, das in der EU vertrieben wird, braucht ab 2026 eine Vulnerability-Disclosure-Policy. Hintergrund ist die EU-Linie aus NIS-2 und Cyber Resilience Act, die strukturierte Schwachstellen-Behandlung zur Pflicht macht.

Plugin-Hersteller, die kein VDP haben, werden 2026 zur Risikoquelle für jeden Hoster, der sie mitschleppt. Die EU-Regulierung kommt nicht aus Schikane, sondern weil das Vertrauensmodell des Plugin-Ökosystems an seine Grenzen stößt.

— Markus Seyfferth, Chefredakteur Dr. Web

Patchstack listet im Whitepaper zwei strukturelle Probleme. Mehr als die Hälfte der Plugin-Entwickler, denen das Unternehmen 2025 eine Schwachstelle gemeldet hat, patchten vor der offiziellen Offenlegung nicht. Parallel überschwemmen KI-generierte Pseudo-Security-Reports die Inboxen der Plugin-Teams, was den Signal-Rausch-Anteil senkt.

Was sollten Site-Betreiber jetzt tun?

Ein oranger Schlüssel mit Gravur steht neben einer kleinen orangen Dienstmütze vor weißem Grund

Drei Prüfschritte stehen oben auf der Liste. Zunächst die Bestandsaufnahme: Welche Pro-Plugins laufen, von welchem Hersteller, mit welchem Patch-Verhalten? Wer das nicht ad hoc beantworten kann, fährt blind. Parallel ein Blick in die letzte Backup-Generation vor dem 7. April, falls Smart Slider 3 Pro 3.5.1.35 jemals eingespielt wurde. Ergänzend lohnt der Patchstack-Datenbank-Check für alle kommerziellen Plugins auf der Site.

Für Agenturen mit WordPress-Wartungsverträgen verschiebt sich die Hausaufgabe. Statt nur Update-Stände zu pflegen, gehört die VDP-Existenz beim Plugin-Anbieter ab sofort zur Auswahlkriterien-Liste. Wie schnell selbst große Plugin-Familien fallen können, hat der stille März-Patch-Reigen bei Elementor, Yoast und WPForms gezeigt. Vier Plugins, 29 Millionen Installationen, zwei unauthentifizierte Lücken.

Patchstack-Premium-Kunden sind über die virtuelle Patch-Schicht abgesichert, die Schwachstellen oft 48 Stunden vor öffentlicher Bekanntgabe blockiert. Für alle anderen bleibt die alte Regel: Auto-Update-Schalter pro kritischem Plugin aktivieren, Hosting-Backup mindestens zweimal wöchentlich.