WordPress Supply-Chain-Angriffe im Jahr 2026
DE

WordPress Supply-Chain-Angriffe im Jahr 2026

Zuletzt überprüft: 20. Juni 2026
11Min. Lesezeit
Meinung
Sicherheitsauditor

#Einführung

Ein Jahrzehnt lang war der Standardrat zur WordPress-Sicherheit einfach genug, um auf einen Aufkleber zu passen: Core, Themes und Plugins aktuell halten. In einer Woche im Juni 2026 zerbrach dieser Rat. Drei separate Supply-Chain-Vorfälle traten zutage, und in allen drei kam der Schadcode über den offiziellen Update- oder Distributionskanal, also ausgerechnet über den Weg, dem man vertrauen soll. Awesome Motive wurde ein CDN-Schlüssel gestohlen, der dann genutzt wurde, um Plugins auf mehr als einer Million Websites zu vergiften. Bei ShapedPlugin wurde die Build-Pipeline kompromittiert und lieferte über lizenzierte Pro-Updates eine Backdoor aus. Und ein Entwickler führte einen einzelnen Betreiber auf, der dreizehn Jahre lang Backdoors über das WordPress.org-Repository betrieb.

Dies ist keine Geschichte über nachlässige Website-Betreiber, die ungepatchte Plugins laufen lassen. Die Opfer hier taten alles, was die Checkliste verlangte. Die Bedrohung verlagerte sich eine Ebene nach oben, zum Anbieter, zum CDN und zum Repository. Für jeden, der einen WooCommerce-Shop auf den Plugins anderer Leute betreibt, also für alle, verändert sich die Frage von “Sind meine Plugins aktuell?” zu “Vertraue ich dem Kanal, über den diese Updates kommen, und was passiert, wenn dieses Vertrauen fehl am Platz ist?”.

#Das Wichtigste in Kürze

  • Alle drei Vorfälle vom Juni 2026 nutzten den offiziellen Update- oder CDN-Kanal als Angriffsvektor, nicht eine ungepatchte Schwachstelle auf der Website des Opfers.
  • Der Awesome-Motive-Einbruch begann mit einer echten Schwachstelle in einem anderen Plugin, UpdraftPlus, die innerhalb von 48 Stunden nach der Veröffentlichung ausgenutzt wurde.
  • Ein gestohlener CDN-Schlüssel erlaubte es den Angreifern, das an mehr als 1,2 Millionen Websites ausgelieferte JavaScript zu manipulieren, ohne den installierten Plugin-Code anzurühren.
  • Die Kompromittierung von ShapedPlugin war ein Angriff auf die Build-Pipeline, sodass die Backdoor wie ein legitimes Update signiert und ausgeliefert wurde.
  • Die 13 Jahre laufende Backdoor-Kampagne zeigt, dass das WordPress.org-Repository selbst keine automatische Sicherheitsgarantie ist.
  • “Alles aktuell halten” ist heute nur noch die Grundlage, nicht die gesamte Verteidigung. Tiefenstaffelung geht davon aus, dass eine vertrauenswürdige Quelle Sie irgendwann verrät.

#Vorfall eins: der Awesome-Motive-CDN-Einbruch

Die Kette begann mit UpdraftPlus, einem der am weitesten verbreiteten Backup-Plugins im Ökosystem. Eine schwerwiegende Schwachstelle wurde am 10. Juni 2026 veröffentlicht. Zwei Tage später hatten Angreifer sie genutzt, um in einen Marketing-Server von Awesome Motive einzudringen. Schon diese 48-Stunden-Spanne ist ernüchternd: Mit der Veröffentlichung beginnt ein Wettlauf, den die Verteidiger meist verlieren, sofern nicht etwas automatisch für sie patcht.

Einmal drinnen, kümmerten sich die Angreifer nicht um die Marketing-Website. Sie fanden einen CDN-API-Schlüssel und nutzten ihn, um die JavaScript-SDK-Dateien zu manipulieren, die Awesome Motive über sein Content Delivery Network an Kundenwebsites ausliefert. Laut der Analyse von Sansec gingen vergiftete Skripte über a.omappapi.com, a.opmnstr.com, a.trstplse.com und clientcdn.pushengage.com hinaus und betrafen OptinMonster (über 1 Million Installationen), TrustPulse und PushEngage. Mehr als 1,2 Millionen Websites luden den manipulierten Code.

Die Malware ging geduldig und gezielt vor. Sie lief nur für angemeldete Administratoren und beendete sich sofort, wenn sie navigator.webdriver, einen Headless-Browser oder ein Fenster der Größe null erkannte, womit sie sich automatisierten Scannern entzog. Wenn sie einen echten Admin fand, legte sie ein betrügerisches Konto an, mal ein festes developer_api1, verknüpft mit [email protected], mal ein zufälliges dev_-Konto, und installierte dann ein selbstverbergendes Plugin getarnt als Content Delivery Helper oder Database Optimizer. Dieses Plugin verschwindet aus dem Dashboard, aus den REST-Endpunkten und aus den Update-Prüfungen und legt zwei nicht authentifizierte Einstiegspunkte frei: eine Web-Shell und ein base64-PHP-eval. Gestohlene Zugangsdaten wurden XOR-verschlüsselt und an tidio.cc geschickt, ein Look-alike des legitimen tidio.com.

Patchstack verzeichnete im Zeitfenster vom 14. bis 15. Juni 271 Versuche, betrügerische Admin-Konten anzulegen, über 13 Websites hinweg, meist gegen den REST-Endpunkt wp/v2/users. Die C2-Domain war am 28. April 2026 registriert worden, dies war also Wochen im Voraus geplant. Als Awesome Motive am 15. Juni Vorfallhinweise veröffentlichte, hatte sich der Schaden auf fünf Marken ausgeweitet: Uncanny Automator meldete einen separaten Einbruch, bei dem Kundennamen, E-Mail-Adressen, Lizenzschlüssel und Website-URLs gestohlen wurden, und MonsterInsights-Kunden wurden Ziel einer Phishing-Kampagne, die eine gefälschte CVE anführte und auf eine Typosquat-Domain verwies.

#Vorfall zwei: die vergiftete Build-Pipeline von ShapedPlugin

Der Awesome-Motive-Angriff erforderte immerhin eine gestohlene Zugangsberechtigung und ein CDN. Die Kompromittierung von ShapedPlugin ist beunruhigender, weil der Schadcode bereits an der Quelle in die offiziellen Releases eingebaut wurde. Angreifer infiltrierten die Build- und Distributions-Pipeline und schleusten eine mehrstufige Backdoor in Pro-Plugin-Releases ein, die über lizenzierte Update-Kanäle ausgeliefert wurden. Für den Kunden sah es genau wie ein normales kostenpflichtiges Update aus.

Drei kommerzielle Plugins waren betroffen: Product Slider Pro for WooCommerce vor 3.5.4, Real Testimonials Pro 3.2.5 und Smart Post Show Pro vor 4.0.2. Die Schwachstelle ist als CVE-2026-10735 mit CVSS 9.8 erfasst, kritisch. Forscher datierten die Einschleusung auf den 21. Mai 2026, die ersten Kundenmeldungen über verdächtige Updates trafen am 10. Juni ein. Der unverblümte Rat der Analysten: Jede Website, die zwischen April und Juni 2026 ein ShapedPlugin-Pro-Produkt installiert hat, sollte als kompromittiert behandelt werden, nicht bloß als aktualisiert.

Die Nutzlast ist eine lehrbuchmäßige zweistufige Operation. Stufe 1 ist ein Loader, der bei admin_init läuft, ein Signal an einen Command-and-Control-Server sendet, die eigentliche Nutzlast über WordPress’ eigenen Plugin_Upgrader herunterzieht und sich dann selbst löscht, um seine Spuren zu verwischen. Stufe 2 setzt ein gefälschtes Plugin ab, das sich aus der Plugin-Liste im Admin verbirgt und ein vollständiges Werkzeugset bündelt: Tiny File Manager, Adminer für den Datenbankzugriff, eine REST-API-Backdoor, eine URL-Parameter-Webshell und eine Login-Umgehung. ShapedPlugin lieferte korrigierte Versionen aus, aber eine Korrektur im Plugin-Code bewirkt nichts für einen Shop, der die Stufe 2 bereits auf der Festplatte hat.

#Vorfall drei: die 13 Jahre alte Backdoor auf WordPress.org

Die dritte Geschichte rückt die anderen beiden in ein neues Licht. Austin Ginder, Gründer des WordPress-Hosters Anchor, wurde aufmerksam, als 12 infizierte Websites in seinem Bestand einen Sicherheitsalarm auslösten. Die Spur führte zu Quick Page/Post Redirect, einem Plugin auf über 70.000 Websites. Sein Autor, der als anadnet auftrat, hatte Code eingespielt, der die Plugin-Update-Checker-Bibliothek einbettete und sie auf anadnet.com statt auf WordPress.org richtete. Diese eine Umleitung erlaubte es dem Autor, beliebigen Code an Live-Websites auszuliefern, vollständig außerhalb der Aufsicht von WordPress.org. Der Mechanismus wurde um 2020 hinzugefügt, im Februar 2021 aus den .org-Versionen entfernt, und im März 2021 ging ein manipulierter Build hinaus. Er überdauerte mehr als fünf Jahre, bevor jemand es bemerkte.

Der Zweck war “Parasite SEO”, also das Geldverdienen mit Google-Rankings auf Zehntausenden gekaperten Websites. Und der Betreiber war kein Einzelfall. Wie The Repository berichtete, bestätigte das Plugins-Team, dass die Operation größer war als Ginders erster Fund: 56 Plugins über 27 Konten, über 13 Jahre hinweg. Der Prüfprozess des Repositorys, der vieles abfängt, hat das über ein Jahrzehnt lang übersehen.

#Was die drei Vorfälle gemeinsam haben

Stellt man sie nebeneinander, ist das Muster offensichtlich.

VorfallVektorAusmaßErkennungslückeErfasst als
Awesome-Motive-CDN-EinbruchGestohlener CDN-Schlüssel nach UpdraftPlus-Exploit1,2 Mio.+ Websites über 5 MarkenTage (12. bis 15. Juni)Anbieter-Hinweise
ShapedPlugin-PipelineKompromittierte Build- und Distributions-Pipeline3 Pro-Plugins, alle, die zwischen April und Juni aktualisierten~3 Wochen (21. Mai bis 10. Juni)CVE-2026-10735, CVSS 9.8
anadnet-KampagneSelbst-Update von WordPress.org weggeleitet56 Plugins, 27 Konten, 70.000+ Websites13 JahreRepository-Entfernung

In keinem dieser Fälle betrieb das Opfer ein veraltetes, verwundbares Plugin auf der eigenen Website. Die Kompromittierung geschah weiter oben in der Lieferkette, an einem Ort, den der Website-Betreiber nicht patchen kann und dem er vertrauen soll. Wie Make Dos Kimb Jones es auf LinkedIn formulierte: “This is exactly the kind of attack that’s hard to defend against with basic maintenance and plugin updates alone.” (Das ist genau die Art von Angriff, gegen die man sich allein mit grundlegender Wartung und Plugin-Updates schwer verteidigen kann.) Genau hier liegt der Kern des Problems: Der Update-Kanal selbst wurde zur Bedrohung.

#Warum “alles aktuell halten” allein nicht mehr genügt

Schnell zu aktualisieren ist nach wie vor wichtig. Das Exploit-Fenster bei UpdraftPlus beweist es: 48 Stunden von der Veröffentlichung bis zur aktiven Ausnutzung bedeuten, dass eine manuelle monatliche Wartung viel zu langsam ist. Aber die Vorfälle vom Juni zeigen die Grenze des Rats auf. Wenn der vergiftete Code das Update ist, dann macht das schnellere Einspielen des Updates Sie nur früher zum Opfer. Das Vertrauen in den Kanal ist die Schwachstelle, und Vertrauen lässt sich nicht patchen.

Das ist unbequem für jenen Teil der Branche, der “Wir halten Ihre Plugins aktuell” als ganzen Wartungsplan verkauft hat. Aktualisieren ist notwendig, aber es deckt nur die einfachen 80 Prozent ab. Die schwierigen 20 Prozent sind das, worauf diese Angriffe zielen: eine nicht autorisierte Änderung erkennen, begrenzen, was eine einzelne kompromittierte Komponente anrichten kann, und sauber wiederherstellen, wenn die Prävention versagt. Ein Wartungsplan, der beim Update-Button aufhört, verkauft das Fundament, als wäre es das ganze Gebäude.

#Was Shop-Betreiber wirklich ändern sollten

Keine der folgenden Verteidigungsmaßnahmen ist exotisch. Es sind die Schichten, die davon ausgehen, dass eine vertrauenswürdige Quelle Sie irgendwann verrät.

  • Reduzieren Sie die Plugin-Oberfläche. Jedes Plugin ist ein Anbieter, dem Sie Codeausführung und einen Update-Kanal anvertrauen. Weniger, gut ausgewählte, aktiv gepflegte Plugins bedeuten eine kleinere Angriffsfläche. Das ist dieselbe Disziplin, die hinter einem schlanken WooCommerce-Plugin-Stack steht: jede Erweiterung ist eine Belastung, kein kostenloses Feature.
  • Setzen Sie Virtual Patching ein. Eine Firewall wie Patchstack blockiert die Ausnutzung einer veröffentlichten Schwachstelle, bevor Sie aktualisieren können, was die einzig realistische Antwort auf ein 48-Stunden-Exploit-Fenster ist.
  • Überwachen Sie die Dateiintegrität. Sowohl die Backdoor von Awesome Motive als auch die von ShapedPlugin verbargen sich vor dem Dashboard, lagen aber im Dateisystem. Ein System, das bei neuen oder geänderten Dateien in wp-content Alarm schlägt, fängt das ab, was die Admin-Oberfläche Ihnen bewusst nicht zeigt. Falls Sie vermuten, dass eine Website bereits betroffen ist, arbeiten Sie unseren Audit-Leitfaden zu Plugin-Supply-Chain-Angriffen durch.
  • Erzwingen Sie minimale Rechte. Die CDN-Malware handelte nur für angemeldete Administratoren. Weniger Admin-Konten, starke, einzigartige Passwörter und Zwei-Faktor-Authentifizierung verkleinern das Fenster, in dem die Nutzlast feuern kann.
  • Trennen Sie Staging von Produktion und pflegen Sie externe Backups mit einer geprobten Wiederherstellung. Wenn ein Plugin, dem Sie vertraut haben, eine Backdoor ausliefert, ist die Wiederherstellungsgeschwindigkeit die entscheidende Kennzahl, und ein Backup, das Sie nie getestet haben, ist eine Wette.

Bei einem WooCommerce-Shop steht mehr auf dem Spiel, weil dieselbe Datenbank Bestellungen, Kundendaten und in vielen Setups den Weg zur Zahlung enthält. Performance und Sicherheit überschneiden sich stärker, als gemeinhin angenommen: ein sauber aufgebauter WooCommerce-Stack mit weniger Plugins und einer klaren Architektur ist zugleich ein kleineres Ziel.

#Wie Transparenz zum Unterscheidungsmerkmal wurde

Ein Detail aus den Folgen ist es wert, im Gedächtnis zu behalten. WP-STAGING-Gründer René Hermenau merkte auf X an, dass die öffentliche Aufarbeitung von OptinMonster “much more transparent, which deserves respect” war (viel transparenter, was Respekt verdient), selbst während sich der Einbruch ausbreitete. Bei einem Supply-Chain-Vorfall ist die Ehrlichkeit des Anbieters Teil Ihrer Verteidigung. Sie sind darauf angewiesen, dass er Ihnen schnell und konkret sagt, was betroffen war und was Sie tun müssen. Ein Anbieter, der herunterspielt, verzögert oder die Offenlegung vergräbt, verlängert in Ihrem Namen Ihr Risikofenster. Wenn Sie ein Plugin bewerten, bewerten Sie auch, wie sich sein Hersteller an seinem schlimmsten Tag wahrscheinlich verhalten wird.

#Fazit

Die Häufung vom Juni 2026 ist keine vorübergehende Pechsträhne. Es ist das Muster des Supply-Chain-Angriffs, in der übrigen Softwarewelt längst Routine, das nun mit voller Wucht in WordPress ankommt. Und es ist nicht WordPress’ erste Welle in diesem Jahr: Eine Kampagne im April 2026 versah Dutzende über Flippa erworbene Plugins mit Backdoors. Das Repository, das CDN und die Build-Pipeline sind allesamt nun nachgewiesene Angriffsflächen, und alle drei liegen oberhalb von allem, was ein Website-Betreiber patchen kann. Der alte Rat war nie falsch, er war nur unvollständig. Bleiben Sie beim Aktualisieren und gehen Sie davon aus, dass das Update der Angriff sein könnte.

Die richtige Reaktion ist nicht Panik, sondern Staffelung. Vertrauen Sie weniger, prüfen Sie mehr, reduzieren Sie die Zahl der Anbieter, die Code auf Ihrem Shop ausführen können, beobachten Sie das Dateisystem und stellen Sie sicher, dass Sie schnell wiederherstellen können, wenn einer dieser Anbieter seine schlimmste Woche erlebt. So sieht eine echte Wartungshaltung im Jahr 2026 aus, und sie ist der Unterschied zwischen einem Vorfall und einer Katastrophe. Die vollständige Checkliste finden Sie in unserem Leitfaden zum WordPress-Security-Hardening.

Zuletzt aktualisiert: 20. Juni 2026.

Nächster Schritt

Machen Sie aus dem Artikel eine echte Umsetzung

Dieser Block stärkt die interne Verlinkung und führt Nutzer gezielt zum nächsten sinnvollen Schritt im Service- und Content-System.

Die sinnvollsten nächsten Schritte

WordPress Sicherheitsaudit

Hardening, Risikoreduktion und saubere Login-Sicherheit.

WordPress Wartung

Updates, Monitoring und stabile Weiterentwicklung.

WordPress Entwickler

Umsetzung, Architektur und individuelle Entwicklung.

Soll das Thema auf Ihrer Website umgesetzt werden?

Ich kann daraus ein konkretes Audit, Hardening-Maßnahmen und einen priorisierten Fix-Plan ableiten.

Zum Projekt schreiben Zum Blog
Relevanter Cluster

Weitere WordPress-Dienste und Wissensbasis entdecken

Stärken Sie Ihr Unternehmen mit professionellem technischen Support in den Kernbereichen des WordPress-Ökosystems.

WooCommerce Entwickler

Shops, Checkout-Prozesse und Verkaufslogik.

Zum Service
Shopify-Entwickler

Shopify-Themes, Liquid und WooCommerce → Shopify-Migrationen.

Zum Service
KI-Commerce

Schema, UCP und Vorbereitung für Shopping-Agenten.

Zum Service
Speed Optimierung

Core Web Vitals, Caching und schnellere Auslieferung.

Zum Service
Sicherheitsaudit

Audit, Hardening und weniger Sicherheitsrisiko.

Zum Service
WordPress Entwickler

Individuelle WordPress-Entwicklung und Architektur.

Zum Service

Verwandte Kategorien

wordpress woocommerce commerce comparison

Unterstützende Artikel

Headless WooCommerce mit Astro: Der E-Commerce Performance-Leitfaden 2026
Headless WooCommerce mit Astro: Der E-Commerce Performance-Leitfaden 2026

Wie man einen blitzschnellen E-Commerce-Shop mit Headless WooCommerce und Astro baut. Architektur, Performance-Vergleich und Schritt-für-Schritt-Implementierung.

Shopify Plus vs WooCommerce headless 2026: Kosten, Kontrolle, KI
Shopify Plus vs WooCommerce headless 2026: Kosten, Kontrolle, KI

Die Entscheidung Shopify Plus vs WooCommerce headless im Jahr 2026 ist kein binärer "Plattform vs Custom"-Kompromiss mehr. Beide laufen headless, beide integrieren KI, beide liefern am Edge aus. Die echten Achsen sind Kontrolle, Gesamtkosten über fünf Jahre und Exit-Strategie. Dieser Artikel durchläuft die Entscheidungsmatrix mit bestätigten Plattformfakten.

Migration von Shopify zu WooCommerce: die vollständige Schritt-für-Schritt-Anleitung
Migration von Shopify zu WooCommerce: die vollständige Schritt-für-Schritt-Anleitung

Migration von Shopify zu WooCommerce ohne Datenverlust, Kundenverlust oder SEO-Ranking-Einbußen. Umfasst Produkttransfer, 301-Weiterleitungen, URL-Mapping, WP-CLI-Automatisierung und Checkliste nach der Migration.

Artikel-FAQ

Häufig gestellte Fragen

Praktische Antworten zur Umsetzung des Themas.

SEO-ready GEO-ready AEO-ready 5 Q&A

Beliebte Fragen

Ist es noch ein guter Rat, WordPress und Plugins aktuell zu halten? Woran erkenne ich, ob meine Website vom Awesome-Motive-CDN-Angriff getroffen wurde? Waren OptinMonster, TrustPulse oder PushEngage selbst verwundbar? Was sollte ich tun, wenn ich ein ShapedPlugin-Pro-Plugin betreibe? Wie kann eine Agentur einen WooCommerce-Shop gegen Supply-Chain-Angriffe schützen?
Ist es noch ein guter Rat, WordPress und Plugins aktuell zu halten? #
Ja, aber es reicht für sich allein nicht mehr aus. Die meisten Angriffe zielen nach wie vor auf Websites mit veralteten, verwundbaren Plugins ab, daher bleiben zügige Updates die Grundlage. Die Vorfälle im Juni 2026 sind anders, weil der Schadcode über den offiziellen Update- oder CDN-Kanal kam, also genau über den Weg, dem der Update-Rat vertrauen heißt. Sie brauchen außerdem weniger Plugins, Konten nach dem Prinzip der minimalen Rechte, eine Überwachung der Dateiintegrität und einen getesteten Wiederherstellungsplan.
Woran erkenne ich, ob meine Website vom Awesome-Motive-CDN-Angriff getroffen wurde? #
Achten Sie auf Admin-Konten, die Sie nicht angelegt haben, insbesondere developer_api1 oder ein beliebiges dev_ gefolgt von zufälligen Zeichen, und prüfen Sie das Verzeichnis wp-content/plugins direkt im Dateisystem auf Ordner namens content-delivery-helper oder database-optimizer, da sich das Backdoor-Plugin vor dem Dashboard verbirgt. Falls Sie eines davon finden, behandeln Sie die Website als vollständig kompromittiert, wechseln Sie alle Passwörter und Geheimnisse und stellen Sie aus einem nachweislich sauberen Backup wieder her.
Waren OptinMonster, TrustPulse oder PushEngage selbst verwundbar? #
Nein, die Plugins wurden nicht über einen Codefehler in ihrer eigenen Software ausgenutzt. Die Angreifer stahlen einen CDN-API-Schlüssel aus der Awesome-Motive-Infrastruktur und manipulierten die vom CDN ausgelieferten JavaScript-SDK-Dateien, sodass Websites, die diese Skripte luden, Schadcode erhielten, obwohl das installierte Plugin unverändert war. Genau das macht einen CDN-Supply-Chain-Angriff so schwer zu erkennen.
Was sollte ich tun, wenn ich ein ShapedPlugin-Pro-Plugin betreibe? #
Jede Website, die zwischen April und Juni 2026 Product Slider Pro for WooCommerce, Real Testimonials Pro oder Smart Post Show Pro installiert hat, sollte als kompromittiert behandelt werden, nicht nur als aktualisiert. Spielen Sie die gepatchten Versionen ein, scannen Sie anschließend nach der Backdoor der zweiten Stufe, die einen Dateimanager, ein Datenbank-Tool, eine REST-API-Backdoor und eine Login-Umgehung bündelt, und wechseln Sie die Zugangsdaten. Ein Update allein entfernt keine Backdoor, die bereits installiert ist.
Wie kann eine Agentur einen WooCommerce-Shop gegen Supply-Chain-Angriffe schützen? #
Reduzieren Sie die Plugin-Oberfläche auf geprüfte, aktiv gepflegte Plugins, betreiben Sie eine Virtual-Patching-Firewall wie Patchstack, überwachen Sie die Dateiintegrität, damit eingeschleuste oder versteckte Dateien einen Alarm auslösen, erzwingen Sie Rollen nach dem Prinzip der minimalen Rechte und starke Authentifizierung für Administratoren, halten Sie Staging und Produktion getrennt und pflegen Sie externe Backups mit einer geprobten Wiederherstellung. Tiefenstaffelung geht davon aus, dass eine Schicht versagen wird.

Sie brauchen ein FAQ für Branche und Zielmarkt? Wir erstellen eine Version passend zu Ihren Business-Zielen.

Kontakt aufnehmen

Ähnliche Artikel

Schützen Sie Ihre Geschäftsdaten durch die Wahl von Open Source CMS gegenüber geschlossenen SaaS-Plattformen im Zeitalter der KI. Erfahren Sie mehr über Dateneigentum, DSGVO-Konformität und die Risiken von Vendor Lock-in.
wordpress

Digitale Souveränität: Warum Open Source 2026 zählt

Schützen Sie Ihre Geschäftsdaten durch die Wahl von Open Source CMS gegenüber geschlossenen SaaS-Plattformen im Zeitalter der KI. Erfahren Sie mehr über Dateneigentum, DSGVO-Konformität und die Risiken von Vendor Lock-in.

Austin Ginder hat in 30 Tagen vier Backdoors in WordPress.org-Plugins offengelegt, dazu kommt ein Autor, der fünf Jahre lang einen verdeckten Update-Server betrieb. Was das für NIS2- und DORA-Abhängigkeitskarten bedeutet.
security

Vier Plugin-Backdoors in einem Monat: WordPress-Supply-Chain im Jahr 2026

Austin Ginder hat in 30 Tagen vier Backdoors in WordPress.org-Plugins offengelegt, dazu kommt ein Autor, der fünf Jahre lang einen verdeckten Update-Server betrieb. Was das für NIS2- und DORA-Abhängigkeitskarten bedeutet.

Hören Sie auf, jedem Benutzer "Administrator"-Zugriff zu geben. Meistern Sie WordPress Rollen & Berechtigungen, um sichere Multi-User-Plattformen zu bauen.
development

WordPress Rollen und Berechtigungen für Entwickler

Hören Sie auf, jedem Benutzer "Administrator"-Zugriff zu geben. Meistern Sie WordPress Rollen & Berechtigungen, um sichere Multi-User-Plattformen zu bauen.