Eine kritische Sicherheitslücke im weitverbreiteten WordPress-Plugin Post SMTP hat weltweit für Aufsehen gesorgt. Angreifer nutzten die Schwachstelle gezielt aus, um Webseiten zu übernehmen – für viele Betreiber kam der Angriff ohne Vorwarnung. Dieser Artikel beleuchtet die Hintergründe der Sicherheitslücke, zeigt dokumentierte Angriffe auf und erklärt, wie WordPress-Nutzer ihre Seiten jetzt absichern können.
Post SMTP unter Beschuss: Was ist passiert?
Das WordPress-Plugin Post SMTP, mit über 300.000 aktiven Installationen eine populäre Lösung zur Konfiguration des E-Mail-Versands via SMTP, ist ins Kreuzfeuer der IT-Sicherheit geraten. Im Juli 2023 wurde öffentlich, dass das Plugin eine gravierende Schwachstelle enthielt, die es unautorisierten Akteuren ermöglichte, administrative Kontrolle über eine WordPress-Instanz zu übernehmen.
Laut dem Sicherheitsteam von Wordfence betraf die Schwachstelle Versionen bis 2.5.2. Der Angriffsvektor beruhte auf einer unzureichend geschützten REST-API, über die Angreifer Settings manipulieren und eventuell sogar einen neuen Admin-Nutzer anlegen konnten. Besonders brisant: Die Lücke wurde bereits aktiv ausgenutzt, bevor sie offen dokumentiert war. Die Entwickler veröffentlichten mit Version 2.5.3 einen Patch, jedoch blieb eine schnelle Reaktion vieler Anwender aus.
Dokumentierte Angriffe und ihre Auswirkungen
Die Sicherheitsfirma Wordfence verzeichnete in der ersten Juliwoche 2023 mehr als 1 Million Angriffsversuche auf die Schwachstelle im Post SMTP Plugin. In bestimmten Fällen gelang es Angreifern, Schadcode einzuschleusen, Weiterleitungen auf Phishing-Seiten zu konfigurieren oder vollständige Kontrolle über kompromittierte Seiten zu erlangen.
Besonders betroffen waren kleinere Unternehmen und Blogger, die selten regelmäßige Updates durchführen oder keine Web Application Firewall im Einsatz haben. Die Angriffe erfolgten weitgehend automatisiert: Skripte scannten das Web nach verwundbaren Seiten, kompromittierten sie bei Fund der Schwachstelle und integrierten sie in Botnetze oder für Spam-Kampagnen.
Ein Einzelfall, dokumentiert vom Cybersecurity-Portal BleepingComputer, betraf eine NGO, deren WordPress-Seite über Post SMTP gehackt wurde – die Angreifer hinterließen dort politische Botschaften und nutzten die Seite zur Verbreitung von Falschinformationen.
Risiken der Plugin-Übernahme: Das eigentliche Problem
Die Sicherheitslücke selbst war nicht das einzige Problem: Recherchen von WordPress-Experten wie Jeff Starr und vom Plugin-Verzeichnis WPScan zeigten, dass das Plugin bereits Monate zuvor von einem unbekannten Entwickler übernommen wurde. Wie sich herausstellte, wurde die Pflege des Plugins seit 2022 weitgehend vernachlässigt. Die neue Eigentümerschaft veröffentlichte zunächst kleinere Updates, ließ jedoch essenzielle Sicherheitsaspekte unberücksichtigt.
Solche Plugin-Übernahmen sind keine Seltenheit: Laut einer Analyse von WordFence (2022) wurden alleine im letzten Jahr über 400 populäre Plugins verkauft oder an neue Entwickler übergeben – häufig ohne öffentliche Kommunikation oder klar nachvollziehbare Maßnahmen zur Qualitätssicherung. Dadurch entstehen Risiken, insbesondere, wenn Sicherheitsstandards nach der Übernahme nicht eingehalten werden.
Wie WordPress-Seitenbetreiber jetzt reagieren sollten
Für Betreiber von WordPress-Seiten ist die Erkenntnis zentral: Kein Plugin – selbst solche mit vielen guten Bewertungen – ist per se vertrauenswürdig, wenn sich Ownership oder Code plötzlich ändert. Prävention und kontinuierliches Monitoring sind unerlässlich.
Die folgenden Maßnahmen empfehlen Experten wie Sucuri und Certitude.io als Reaktion auf den Vorfall:
- Plugin sofort aktualisieren: Post SMTP sollte mindestens auf Version 2.5.3 oder neuer gebracht werden. Vor einem Update empfiehlt sich ein vollständiges Backup.
- Administrationsrechte prüfen: Kontrolle über neu angelegte Benutzerkonten und API-Schlüssel hilft, unautorisierte Zugriffe aufzuspüren.
- Security-Plugins installieren: Tools wie Wordfence, iThemes Security oder Sucuri Security bieten Echtzeitschutz, Dateiüberwachung und Brute-Force-Schutz.
Darüber hinaus ist zu prüfen, ob verdächtige E-Mails versendet wurden oder unbekannte SMTP-Einträge im Plugin vorhanden sind, die auf eine zuvor manipulierte Konfiguration hinweisen könnten. Eventuell genutzte Web Application Firewalls (WAF) sollten auf Anomalien im Zugriffsmuster analysiert werden.
Reaktionen der Entwickler-Community und WordPress-Plattform
Die Sicherheitslücke in Post SMTP hat innerhalb der WordPress-Community eine Debatte über die Transparenz bei Plugin-Übernahmen entfacht. Kritiker fordern obligatorische Hinweise, wenn ein Plugin den Besitzer wechselt – ähnlich wie es Open-Source-Plattformen wie npm oder PyPI bereits handhaben. Derzeit gibt es dazu keine etablierte Lösung innerhalb des WordPress-Ökosystems.
Im offiziellen WordPress.org-Supportforum äußerten sich EntwicklerInnen und NutzerInnen kritisch über die Rolle des Plugin-Teams, das die auffällige Entwicklung nicht früher gestoppt hatte. In Reaktion darauf kündigte das WordPress.org Plugin Review Team im August 2023 an, künftig regelmäßigere Reviews durchzuführen und eine Changelog-Pflicht bei Ownership-Wechsel einzuführen. Diese Funktionen befinden sich aktuell noch in der Testphase.
Die Post SMTP-Maintainer selbst äußerten sich nur in einem knappen Support-Post: Man habe die Sicherheitslücke beseitigt und arbeite an weiteren Qualitätssicherungsmaßnahmen. Die Langzeitstrategie zur Wiederherstellung des Vertrauens fehlt jedoch bislang.
WordPress-Sicherheit als Community-Herausforderung
Die Vorfälle rund um Post SMTP zeigen, wie anfällig das WordPress-Ökosystem gegenüber schlecht gewarteten oder heimlich übernommenen Erweiterungen sein kann. Laut W3Techs basiert derzeit rund 43,2 % aller Webseiten im Netz auf WordPress (Stand: September 2024). Damit ist jede Schwachstelle in einem populären Plugin potenziell eine Bedrohung für große Teile des Internets.
Eine Studie von Patchstack (WordPress Vulnerability Report 2023) belegt zudem, dass 91,79 % aller dokumentierten WordPress-Sicherheitsvorfälle auf Plugins zurückzuführen sind – nur ein Bruchteil auf das Kernsystem. Daraus ergibt sich eine klare Priorität: Die Sicherheitsarbeit muss stärker an der Plugin-Landschaft ansetzen, nicht allein am WordPress-Core.
Fazit: Achtsamkeit und Transparenz stärken die Sicherheit
Der Fall Post SMTP ist ein warnendes Beispiel für die Folgen unzureichend gewarteter und undurchsichtig übernommener WordPress-Plugins. Webseitenbetreiber müssen ihre Verantwortung ernster nehmen und Sicherheitsstrategien proaktiv leben – durch Updates, Monitoring, Zwei-Faktor-Authentifizierung und verlässliche Sicherheitslösungen.
Zugleich braucht es klare Richtlinien für Plugin-Übernahmen, größere Transparenz im WordPress-Repository und ein stärkeres Bewusstsein in der Community für Supply-Chain-Risiken im Plugin-Umfeld. Nur gemeinsam kann die weltweit größte CMS-Plattform resilient gegenüber Angreifern bleiben.
Wie gehen Sie in Ihrer Organisation mit Plugin-Sicherheit um? Welche Tools oder Strategien haben sich bewährt? Teilen Sie Ihre Erfahrungen mit der WordPress-Community – denn gelebte Sicherheit beginnt beim Austausch.
