Über den offiziellen Update-Mechanismus des populären WordPress-Plugins Smart Slider 3 Pro wurde für mehrere Stunden eine mit Backdoor-Code präparierte Version ausgeliefert. Die kompromittierte Ausgabe 3.5.1.35 ermöglichte Angreifern eine verdeckte Übernahme betroffener Websites und zielte damit direkt auf die Vertrauensbasis der WordPress-Update-Infrastruktur.
Kompromittiertes Update von Smart Slider 3 Pro: Was bekannt ist
Nach Angaben des Sicherheitsspezialisten Patchstack betraf der Angriff die kommerzielle Version Smart Slider 3 Pro 3.5.1.35 für WordPress. Smart Slider zählt zu den verbreitetsten Slider-Plugins; zusammen mit der kostenlosen Ausgabe ist es auf Hunderttausenden von Websites installiert. Für Joomla wird das Produkt vom selben Hersteller Nextend gepflegt, der ebenfalls die Update-Infrastruktur betreibt.
Unbekannte Angreifer verschafften sich unautorisierten Zugriff auf die Systeme, über die Pro-Kunden ihre Updates beziehen. Dort wurde eine komplett manipulierte Build der Version 3.5.1.35 abgelegt, die reguläre Funktionen mit einem umfangreichen Backdoor-Modul kombinierte. Das schädliche Update war rund sechs Stunden lang abrufbar – vom Release am 7. April 2026 bis zur Entdeckung und Entfernung durch Nextend.
Laut Hersteller war ausschließlich die Bezahlversion Smart Slider 3 Pro betroffen. Die kostenlose Variante für WordPress wurde über eine separate Infrastruktur verteilt und blieb nach aktuellen Informationen unverändert. Um den Vorfall einzudämmen, deaktivierte Nextend vorübergehend die Update-Server und leitete eine interne Untersuchung ein.
Backdoor-Funktionalität: Vollwertiges Angriffs-Toolkit im Plugin
Die analysierte Schadkomponente in Smart Slider 3 Pro 3.5.1.35 war deutlich mächtiger als ein einfacher Web-Shell-Schnipsel. Sie verhielt sich wie ein Remote-Access-Toolkit, das auf dauerhafte Kontrolle und unauffällige Persistenz innerhalb der WordPress-Umgebung ausgelegt war.
Versteckte Administrator-Konten für dauerhaften Zugriff
Ein Kernbestandteil der Backdoor war die Fähigkeit, automatisch neue Benutzerkonten mit Administratorrechten anzulegen. Diese Konten konnten so getarnt werden, dass sie in der normalen Benutzerliste schwer auffallen. Selbst wenn der kompromittierte Plugin-Code entfernt oder aktualisiert wurde, blieb Angreifern über diese Accounts oft weiterhin Zugriff auf das System.
Remote Code Execution über HTTP-Header und versteckte Parameter
Die manipulierte Version implementierte Mechanismen für Remote Code Execution (RCE). Über speziell präparierte HTTP-Header und versteckte Request-Parameter konnten Angreifer:
– Systembefehle auf dem Server ausführen, etwa zum Nachladen weiterer Schadsoftware oder zum Auskundschaften der Umgebung;
– beliebigen PHP-Code im Kontext der WordPress-Installation starten.
Damit eigneten sich kompromittierte Sites als Sprungbrett für weiterführende Angriffe in die Infrastruktur des Hosting-Anbieters oder des Unternehmens (sogenannter lateral movement). Typische Folgeaktivitäten sind der Versand von Spam, Phishing-Kampagnen, die Auslieferung von Malware oder der Missbrauch des Webservers als C2-Relais.
Mehrstufige Persistenz und Datendiebstahl
Patchstack berichtet, dass die Backdoor mehrstufig aufgebaut war. Mehrere voneinander unabhängige Einstiegspunkte im Plugin-Code erschweren die vollständige Entfernung. Ergänzt wurde dies durch:
– Routinen zur Verschleierung verdächtiger Aktivitäten in Logs;
– Fallback-Kanäle für Kommandos, falls einzelne Einstiegspunkte entdeckt oder geblockt werden;
– eine automatische Registrierung bei einem Command-and-Control-Server (C2), inklusive Übermittlung von Konfigurationen und möglicherweise kompromittierten Zugangsdaten.
Damit fungierte die manipulierte Plugin-Version als umfangreiche Persistenzplattform, maßgeschneidert für die WordPress-Architektur.
Supply-Chain-Angriff auf die WordPress-Update-Kette
Aus Sicht der Cybersicherheit handelt es sich um einen klassischen Supply-Chain-Angriff: Nicht die einzelnen Websites werden direkt angegriffen, sondern ein vertrauenswürdiger Baustein der Lieferkette – in diesem Fall der Update-Server des Plugin-Herstellers. Vergleichbare Angriffsstrategien waren in den vergangenen Jahren bereits bei kompromittierten Software-Updates und Bibliotheks-Repositories zu beobachten; internationale Analysen von Organisationen wie ENISA oder im Verizon Data Breach Investigations Report zeigen, dass solche Szenarien zunehmen.
Besonders kritisch: Viele etablierte Schutzmaßnahmen wie WAF-Regeln, CSRF-Token oder Rollen- und Rechtekonzepte greifen hier kaum. Der Administrator stößt das Update selbst und bewusst über das Backend an, der Datenstrom stammt aus einer als vertrauenswürdig eingestuften Quelle. In diesem Moment wird das Plugin selbst zur „Nutzlast“, ohne dass klassische Anomalieerkennungen zwingend anschlagen.
Angesichts der hohen Verbreitung von WordPress – es treibt einen erheblichen Anteil aller Websites weltweit an – wird jedes weit verbreitete Plugin zu einem attraktiven Einstiegspunkt für Angreifer. Je größer die installierte Basis, desto lohnender ist die Kompromittierung der Update-Kette.
Konkrete Maßnahmen für Betreiber von WordPress-Websites
Betreiber, die Smart Slider 3 Pro Version 3.5.1.35 eingesetzt haben könnten, sollten das Plugin unverzüglich auf Version 3.5.1.36 oder höher aktualisieren. In Anbetracht der integrierten Backdoor ist ein reines Update jedoch nur der erste Schritt.
Empfohlene Maßnahmen zur Risikominimierung:
– Durchführung eines vollständigen Sicherheitsscans der Website mit spezialisierten WordPress-Security-Tools, inklusive Prüfung auf Web-Shells und unautorisierte Dateianpassungen;
– gründliche Kontrolle der Benutzerverwaltung, Löschen unbekannter oder verdächtiger Administratorkonten;
– sofortiger Passwortwechsel für alle Admin-Konten, den Hosting-Zugang, die Datenbank und das Control Panel; idealerweise ergänzt um Zwei-Faktor-Authentifizierung;
– Auswertung der Webserver- und WordPress-Logs auf ungewöhnliche Muster seit Installation der betroffenen Version;
– bei Anzeichen tiefergehender Kompromittierung: Umzug auf eine frische Hosting-Umgebung und Wiederherstellung aus verifizierten Backups.
Darüber hinaus empfiehlt sich eine grundsätzliche Stärkung der WordPress-Sicherheit: Minimierung der eingesetzten Plugins auf das notwendige Maß, regelmäßige Audits der Zugriffsrechte, Einsatz von Integritäts-Monitoring und – wo sinnvoll – ergänzende Schutzschichten wie WAFs und Host-basierte Sicherheitstools.
Der Vorfall um Smart Slider 3 Pro verdeutlicht, dass Sicherheit in Content-Management-Systemen nicht mit der Installation „vertrauenswürdiger“ Erweiterungen endet. Entscheidend ist ein bewusstes Management der gesamten Vertrauenskette – von der Herkunft der Plugins über den Update-Prozess bis zur kontinuierlichen Überwachung der Systeme. Wer Updates nicht nur automatisiert einspielt, sondern auch die Sicherheitskommunikation der Hersteller verfolgt und eigene Detektions- und Reaktionsprozesse etabliert, reduziert das Risiko, beim nächsten Supply-Chain-Angriff zur unfreiwilligen Drehscheibe für Cyberkriminelle zu werden.
