Mitte April 2026 schloss WordPress.org das Plugin Quick Page/Post Redirect aus dem offiziellen Verzeichnis. Sicherheitsforscher hatten zuvor Schadcode entdeckt, der über Jahre unauffällig auf mehr als 70.000 aktiven WordPress-Seiten lief.
Für sich genommen ist das kein Weltuntergang. Plugin-Lücken werden regelmäßig gemeldet. Was diesen Fall lehrreich macht, ist die Art der Lücke: kein klassischer Bug, sondern bewusst hinterlegter Schadcode. Im Oktober 2020 wurde der Backdoor-Code in das Plugin eingeschleust, wenige Monate später scharfgeschaltet — und schleuste seitdem unauffällig SEO-Spam-Backlinks in Beiträge ein. Für eingeloggte Admins und normale Besucher blieb alles, wie es sein sollte. Die manipulierten Inhalte sahen nur Suchmaschinen-Crawler.
Warum dieser Fall besonders ist
Die meisten Sicherheitsupdates in der WordPress-Welt schließen handwerkliche Fehler — vergessene Authentifizierung, eine nachlässige SQL-Abfrage, eine unsichere Datei-Upload-Funktion. Das ist Alltag. Patch einspielen, fertig.
Eine eingebaute Backdoor ist anders. Der Code wurde geprüft und freigegeben — und enthielt von Anfang an etwas, das niemand sehen sollte. Solche Fälle treffen auch Seiten, die alle Updates zeitnah einspielen. Ihre Disziplin spielt nur dann gegen Sie aus, wenn die Lücke vorher bekannt war.
Bei einer Backdoor wie der von Quick Page/Post Redirect sieht es noch heikler aus: Updates werden zur Tarnung, nicht zum Schutz. Ein Plugin, das jahrelang unauffällig war, kann mit einem einzigen Update zum Einfallstor werden. Das verändert die Logik, mit der Sie Plugins auswählen — weg von „funktioniert das?" hin zu „vertraue ich dem, der das pflegt?".
Wenn Sie das Plugin Quick Page/Post Redirect installiert haben oder bis zur Meldung hatten: Backups der letzten zwölf Monate prüfen, Admin-Logs auf neue Benutzer durchsehen, die Live-Seite einmal aus Sicht eines Suchmaschinen-Crawlers ansehen — zum Beispiel über den Google-Search-Console-Report oder mit curl und User-Agent „Googlebot". Nicht nur deinstallieren — den Vorfall einmal ordentlich aufarbeiten.
Vier Warnsignale, an denen Sie ein Plugin-Problem früh erkennen
Sie müssen keine Sicherheits-Spezialistin sein, um den Großteil aller Plugin-Probleme früh zu bemerken. Diese vier Signale tauchen in der Praxis am häufigsten auf:
- Unbekannte Admin-Benutzer. Schauen Sie monatlich kurz unter „Benutzer" nach. Wer dort steht, gehört dort auch hin.
- SEO-Spam-Links in Beiträgen. Insbesondere am Ende von Posts: Links zu Glücksspiel, Pharma, Kryptowährungen. Wichtig: oft sind die Links nur für Suchmaschinen sichtbar — der Blick in den HTML-Quelltext oder die Search Console hilft.
- Weiterleitungen, die niemand eingerichtet hat. Ihre Seite öffnet sich, aber Besucher landen auf einer fremden Domain.
- Plötzlich langsame Seite. Wenn die Performance einbricht, ohne dass Sie etwas geändert haben — oft ein Hinweis auf Schadcode, der im Hintergrund läuft.
Was KMU-Seitenbetreiber jetzt richtig machen können
Wir betreuen seit Jahren WordPress-Installationen für Kleinunternehmen, Praxen und Handwerksbetriebe — und haben in jedem zweiten neu übernommenen Projekt mindestens eine Plugin-Schwäche gefunden. Aus dieser Erfahrung haben sich vier Punkte als wirksam erwiesen:
- Plugin-Inventur einmal im Quartal. Alle 90 Tage einmal alle aktiven Plugins durchgehen: Wird das wirklich gebraucht? Wann war das letzte Update? Hat der Entwickler in den letzten zwölf Monaten etwas am Code gemacht? Inaktive oder verwaiste Plugins fliegen raus.
- Weniger ist mehr. Eine Seite mit acht Plugins ist sicherer als eine mit achtundzwanzig. Jedes zusätzliche Plugin ist eine zusätzliche Vertrauensentscheidung — und ein zusätzlicher Wartungsaufwand.
- Updates automatisch einspielen. Für KMU-Seiten überwiegt der Vorteil zeitnaher Patches das Risiko eines fehlerhaften Updates. Wer sich davor scheut, sollte zumindest Sicherheits-Updates automatisieren — andere Updates kann man manuell machen.
- Backups testen, nicht nur erstellen. Ein Backup, das im Ernstfall nicht zurückspielbar ist, ist kein Backup. Wir testen die Wiederherstellung in jedem Kundenprojekt einmal im Jahr.
Wo wir bei Pageartist die Linie ziehen
Wenn Sie uns fragen, welche Plugins wir auf neuen Pageartist-Projekten installieren, ist die Antwort: so wenige wie möglich. Für die häufigsten Aufgaben — Kontaktformular, Caching, SEO-Grundlagen, Datenschutz — reichen drei bis fünf gut gepflegte Plugins.
Plugins aus zwielichtigen Quellen, kostenlose Versionen kommerzieller Pro-Plugins, Plugins ohne aktiven Maintainer in den letzten sechs Monaten — die kommen nicht in unser Set. Diese Vorsicht kostet manchmal Komfort, aber sie hat den Pageartist-Studio-Bestand seit Jahren ohne ernsthafte Vorfälle gehalten.
Auf Hosting-Seite kommt dazu: Wir setzen auf einen Anbieter mit eigener Anwendungs-Firewall vor WordPress. Selbst wenn ein Plugin-Problem mal durchrutscht, fängt diese Schicht typische Angriffsmuster ab, bevor sie WordPress überhaupt erreichen.
Was als Nächstes kommt
Der Quick-Page-Vorfall ist nicht der erste seiner Art und wird nicht der letzte sein. Plugin-Ökosysteme leben von Vertrauen, und Vertrauen lässt sich missbrauchen. Was Sie als Seitenbetreiber dagegen tun können, ist überschaubar: weniger Abhängigkeiten, klarere Inventur, geprüfte Backups, automatisierte Updates dort, wo es sinnvoll ist.
Wenn Sie bei einem dieser Punkte unsicher sind oder eine Plugin-Übersicht für Ihre eigene Seite brauchen, melden Sie sich. Wir machen das in den ersten Wochen einer neuen Betreuung sowieso — bei laufenden Kundenprojekten lohnt sich das jährlich.
Lass uns über dein Projekt sprechen.
30 Minuten Erstgespräch, kostenlos und unverbindlich. Konkrete Antworten statt Sales-Pitch.
→ Kontakt aufnehmen