Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
WordPress 22.06.2026 · 4 min Lesezeit

WordPress-Supply-Chain-Angriff: OptinMonster-Kompromittierung gefährdet 1,2 Millionen Websites

Am 13. Juni 2026 deckte Sansec einen aktiven Supply-Chain-Angriff auf die WordPress-Plugins OptinMonster, TrustPulse und PushEngage auf. Angreifer erlangten Zugriff auf das BunnyNet-CDN-Konto des Anbieters Awesome Motive und injizierten bösartigen JavaScript-Code in legitime SDK-Dateien. Das injizierte Skript wartet auf eingeloggte Administratoren, erstellt versteckte Admin-Konten und installiert ein unsichtbares Backdoor-Plugin. Betreiber betroffener WordPress-Seiten müssen dringend handeln.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
WordPress Supply Chain Angriff über kompromittiertes OptinMonster Plugin gefährdet 1,2 Millionen Websites und zeigt die Ausbreitung über betroffene WordPress Instanzen.

Am 13. Juni 2026 deckte das Sicherheitsunternehmen Sansec einen aktiven Supply-Chain-Angriff auf die WordPress-Plugins OptinMonster, TrustPulse und PushEngage auf. Alle drei Plugins werden von Awesome Motive betrieben, einem der größten WordPress-Plugin-Anbieter weltweit. Die Kampagne war zum Zeitpunkt der Entdeckung noch aktiv. Betreiber betroffener WordPress-Seiten müssen dringend handeln.

Meldung und Einordnung

Bei dem Vorfall handelt es sich nicht um eine klassische Plugin-Sicherheitslücke, sondern um eine CDN-Supply-Chain-Kompromittierung. Angreifer erlangten Zugriff auf das BunnyNet-CDN-Konto von Awesome Motive und manipulierten legitime JavaScript-SDK-Dateien. Jede Website, die das SDK lud, erhielt das manipulierte Skript direkt vom CDN – ohne dass ein Plugin-Update erforderlich war. Nach Schätzungen von Sansec sind über 1,2 Millionen Websites dem manipulierten Skript ausgesetzt gewesen.

Technische Details: Angriffsvektor und Payload

Betroffene Plugins und CDN-Endpunkte

PluginAktive InstallationenKompromittierte CDN-Endpunkte
OptinMonsterMehr als 1 Milliona.omappapi.com, a.opmnstr.com, a.optnmstr.com
TrustPulseNicht einzeln bezifferta.trstplse.com
PushEngageNicht einzeln beziffertclientcdn.pushengage.com

Wichtig: Awesome Motive betreibt weitere bekannte Plugins wie WPForms (rund 6 Millionen Installationen), MonsterInsights (rund 2 Millionen) und All in One SEO (rund 3 Millionen). Hier wurde keine Kompromittierung bestätigt.

Angriffsvektor: CDN-Supply-Chain

Der initiale Zugriff erfolgte mutmaßlich über eine Schwachstelle im UpdraftPlus-Plugin auf einem Marketing-Webserver von Awesome Motive. Auf dem kompromittierten Server lag ein API-Key für das BunnyNet-CDN. Die Angreifer konnten damit die legitimen JavaScript-SDK-Dateien auf den CDN-Edges modifizieren. Der Angriff war besonders perfide, weil kein Plugin-Update ausgerollt werden musste – jede Website, die das SDK über das CDN lud, erhielt automatisch die manipulierte Version.

Payload-Analyse (Sansec/Patchstack)

Das injizierte JavaScript arbeitet gezielt und zurückhaltend:

  1. Es umgeht Headless-Browser und automatische Scanner durch Browser-Erkennung
  2. Es sucht nach Admin-Kontext (/wp-admin/, Admin-Bar, logged_in-Cookie) – normale Besucher sind nicht betroffen
  3. Eine 24-Stunden-Drossel via localStorage verhindert wiederholte Ausführung
  4. Es sammelt REST- und AJAX-Nonces für administrative Aktionen
  5. Es erstellt Admin-Konten (developer_api1 sowie dev_xxxxxx) über vier verschiedene Methoden
  6. Es installiert ein selbstversteckendes PHP-Backdoor-Plugin, das sich vor der WordPress-Plugin-Liste und API verbirgt
  7. Es exfiltriert Daten XOR-verschlüsselt an tidio.cc

Zeitstrahl des Angriffs

  1. Ende April 2026: Erste Anzeichen der Kompromittierung
  2. 12. Juni 2026: Manipulierte Skripte werden über das CDN ausgeliefert (wenige Stunden Fenster)
  3. 13. Juni 2026: Sansec veröffentlicht die erste detaillierte Analyse
  4. 13.-14. Juni 2026: PushEngage-SDK ist noch auf den CDN-Edges – Patches laufen
  5. 14. Juni 2026: OptinMonster veröffentlicht offizielles Security Disclosure
  6. 15. Juni 2026: Patchstack veröffentlicht ergänzende Analyse
  7. 16. Juni 2026: Heise online berichtet auf Deutsch und Englisch

Betroffenheit für KMU und Agentur-Betreiber

Der Angriff betrifft in erster Linie Websites, die eines der drei betroffenen Plugins einsetzen und bei denen im kritischen Zeitfenster ein Administrator eingeloggt war. Die tatsächliche Zahl der kompromittierten Websites ist schwer zu beziffern, aber Patchstack hat hunderte Angriffsversuche blockiert. Angreifer erhalten nach erfolgreicher Kompromittierung vollständige Admin-Kontrolle über die betroffene Website. Das Backdoor ist mit normalen WordPress-Mitteln (Plugin-Liste, Dashboard-Übersicht) nicht erkennbar.

Handlungsempfehlung für Admins

Betreiber von WordPress-Seiten, die OptinMonster, TrustPulse oder PushEngage einsetzen, sollten folgende Maßnahmen ergreifen:

Akutmaßnahmen

  1. Datenbank auf die Benutzer developer_api1 und dev_* prüfen – diese sind ein klares Indiz für eine Kompromittierung
  2. Dateisystem auf versteckte Plugins scannen, insbesondere außerhalb des regulären wp-content/plugins/-Verzeichnisses
  3. Alle Admin-Passwörter zurücksetzen – auch die von nicht betroffenen Benutzern
  4. API-Keys rotieren, insbesondere WordPress REST API Keys, Zahlungsdienstleister-Keys und externe Dienst-Keys
  5. Logs auf Zugriffe über den wp/v2/users-Endpunkt prüfen

Mittelfristige Maßnahmen

  1. Awesome Motive hat die CDN-Caches gepurgt und die API-Keys rotiert – Plugins neu laden und CDN-Cache leeren
  2. WordPress sowie alle installierten Plugins und Themes updaten
  3. Zwei-Faktor-Authentifizierung (2FA) für alle Admin-Benutzer aktivieren
  4. Eine Web Application Firewall (WAF) einrichten, die verdächtige Admin-Anlage-Versuche erkennt
  5. Datei-Integritätsprüfung mit einem Tool wie WP Scan oder einem server-seitigen Monitoring einrichten

Admin-Einschätzung

Der Vorfall ist ein weiteres Beispiel für die Verwundbarkeit der WordPress-Plugin-Ökonomie. Während die meisten Aufmerksamkeit auf klassische Plugin-Sicherheitslücken gerichtet ist, zeigt dieser Angriff, dass auch die Lieferkette (CDN, Build-Server, API-Keys) ein kritisches Sicherheitsrisiko darstellt. Besonders tückisch: Der Angriff kommt nicht über ein Plugin-Update, sondern direkt über das CDN – die Website-Betreiber haben keine Kontrolle darüber, welche Version des SDK ihr CDN ausliefert. Der Vorfall folgt dem Muster des ShapePlugin-Supply-Chain-Angriffs vom Mai 2026: Beide Male wurden CDN- oder Update-Infrastrukturen kompromittiert, um Backdoors auf tausenden Websites zu installieren. Empfehlung an Admins: CDN- und Drittanbieter-Skripte kritisch prüfen, Subresource Integrity (SRI) einsetzen und regelmäßig auf ungewöhnliche Admin-Konten scannen.

Passende Anleitungen auf S-EDV

  1. WordPress-Sicherheit: Plugin-Risiken brauchen feste Update- und Prüfprozesse – Grundlegende Strategie zur Risikominimierung bei WordPress-Plugins, direkter Handlungsleitfaden.
  2. WordPress-Supply-Chain-Angriff: ShapePlugin-Pro-Plugins mit Backdoor – Der Vorgänger-Vorfall vom Mai 2026 mit ähnlichem Angriffsmuster.
  3. Linux-Server absichern: UFW-Firewall und Fail2ban – Serverseitige Absicherung, die auch WordPress-Installationen schützt.

Quellen

  1. Sansec: OptinMonster supply chain attack hits 1.2 million sites (13. Juni 2026)
  2. Patchstack: Supply Chain Attack Analysis (15. Juni 2026)
  3. Heise online: Supply-Chain-Angriff bringt 1,2 Mio. Seiten in Gefahr (16. Juni 2026)
  4. Cyber Security News: OptinMonster Plugin Hack Exposes 1.2 Million WordPress Sites
  5. OptinMonster (Awesome Motive): Security Incident Disclosure (14. Juni 2026)
Verwandt

Weiter lesen

Alle Artikel →
Redaktionelle IT-News-Grafik zu PCI DSS 4.0.1: Checkout-Skripte als Sicherheitsrisiko - was Admins jetzt pruefen muessen
19.06.2026 ·2 min

PCI DSS 4.0.1: Checkout-Skripte als Sicherheitsrisiko - was Admins jetzt prüfen müssen

The Hacker News, PCI Council und SecurityWeek: PCI DSS 4.0.1 macht CSP, SRI und Script-Inventar zur Pflicht. Technische Maßnahmen gegen Magecart.
IT News Grafik zur Sicherheitslücke im WordPress Plugin Gravity SMTP. Darstellung eines unautorisierten Datenlecks mit offengelegten API Schlüsseln, Systeminformationen, Serverdaten und Cybersecurity Warnhinweisen für WordPress Administratoren.
18.06.2026 ·4 min

Gravity SMTP: Unauthentifizierte Lücke leakt API-Schlüssel und Systemdaten WordPress-Sites

Das WordPress-Plugin Gravity SMTP mit 100.000 Installationen hat eine unauthentifizierte REST-API-Lücke, die vollständige Systemberichte inklusive API-Schlüssel und OAuth-Tokens preisgibt. Wordfence zählte 17 Millionen Ausnutzungsversuche.
IT News Grafik zu WordPress Sicherheit mit Plugin Risiken, festen Updateprozessen und Prüfprozessen für Administratoren.
18.06.2026 ·2 min

WordPress-Sicherheit: Plugin-Risiken brauchen feste Update- und Prüfprozesse

WordPress bleibt durch seine Plugin-Landschaft ein häufiges Angriffsziel. Betreiber sollten Updates, Rechte, Backups und Plugin-Auswahl konsequent prüfen.