Das WordPress‑Plugin „Quick Page/Post Redirect“, installiert auf rund 70.000 Websites, enthält seit etwa fünf Jahren eine versteckte Hintertür. Entdeckt wurde das Problem von Austin Ginder (Anchor), nachdem 12 Seiten in seiner Hosting‑Fleet eine Sicherheitswarnung ausgelöst hatten. In den offiziellen Plugin‑Versionen 5.2.1 und 5.2.2 (Veröffentlichungen 2020–2021) war ein selbständiger Update‑Mechanismus verborgen, der auf die Dritt‑Domain anadnet[.]com verwies und es erlaubte, beliebigen Code außerhalb der Kontrolle von WordPress.org auszuliefern. Obwohl der schädliche Self‑Updater in späteren WordPress.org‑Builds im Februar 2021 entfernt wurde, erhielten Installationen mit 5.2.1/5.2.2 im März 2021 offenbar eine manipulierte 5.2.3‑Build vom externen Server w.anadnet[.]com, die eine passive Backdoor einfügte. Diese manipulierte Build hatte einen anderen Hash als das offizielle WordPress.org‑Paket. Die Backdoor ist so konstruiert, dass sie nur bei ausgeloggten Besuchern aktiv wird (vermutlich für SEO‑Spam), und ist inhaltlich über den Hook ‚the_content‘ mit dem anadnet‑Server verbunden. Das größere Risiko bleibt jedoch der Update‑Mechanismus selbst, der theoretisch beliebige Codeausführung erlaubt; er ist auf betroffenen Installationen weiterhin vorhanden, momentan aber inaktiv, weil das ursprüngliche Command‑and‑Control‑Subdomain‑Setup nicht mehr auflöst (die zugehörige Domain ist jedoch aktiv).

WordPress.org hat das Plugin vorübergehend aus dem Verzeichnis entfernt und es ist derzeit kein sauberes Update verfügbar.

Deinstallieren!

Bis ein geprüftes Update bereitsteht lautet die Handlungsempfehlung: das Plugin sofort deinstallieren, betroffene Seiten auf Anzeichen von SEO‑Missbrauch und fremdem Code prüfen und erst eine saubere Kopie aus dem offiziellen Verzeichnis einspielen, sobald WordPress.org das Plugin wieder freigibt.

[https://anchor.host/wordpress-plugin-hijacked-in-2020-hid-a-dormant-backdoor-for-years/]