MonsterInsights gehackt: 3 Mio. WordPress-Sites betroffen
Das MonsterInsights-WordPress-Plugin, das auf über drei Millionen Websites installiert ist, ist Ziel eines aktiven Cyberangriffs geworden. Die offizielle Website des Plugins ist derzeit offline und zeigt nur eine Sicherheitswarnung. Nutzer werden dringend aufgefordert, das Plugin unter keinen Umständen von Drittanbieter-Websites herunterzuladen.
Angreifer haben offenbar Zugang zu Kundendaten erlangt und versenden aktiv Phishing-E-Mails an registrierte MonsterInsights-Nutzer. Auf X (ehemals Twitter) und Facebook häufen sich Berichte von Betroffenen, die solche E-Mails erhalten haben. Das Risiko: Nutzer könnten auf gefälschte Download-Links hereinfallen und eine kompromittierte Plugin-Version installieren, die Malware auf ihrer Website einschleust.
MonsterInsights selbst hat den Angriff auf X bestätigt und warnt explizit davor, das Plugin von anderen Quellen als dem offiziellen WordPress.org-Repository zu installieren. Die Analytics-Funktionalität bestehender Installationen soll laut Anbieter nicht beeinträchtigt sein — das eigentliche Risiko liegt in der Verbreitung manipulierter Plugin-Versionen über Phishing-Kanäle.
Der Vorfall zeigt erneut, wie attraktiv weit verbreitete WordPress-Plugins als Angriffsziel sind. Mit über zwei Millionen aktiven Installationen allein der kostenlosen Version bietet MonsterInsights Angreifern eine enorme potenzielle Reichweite.
Was das für deine Website bedeutet:
1. Prüfe sofort deine E-Mails: Hast du in den letzten 48 Stunden eine E-Mail von MonsterInsights erhalten? Klicke auf keine Links darin und öffne keine Anhänge. Leite verdächtige Mails direkt an [email protected] weiter und lösche sie anschließend.
2. Prüfe deine aktive Plugin-Version: Gehe in deinem WordPress-Backend unter Plugins → Installierte Plugins und prüfe, welche Version von MonsterInsights aktuell aktiv ist. Vergleiche die Versionsnummer mit der offiziellen Version auf wordpress.org/plugins/google-analytics-for-wordpress. Weicht sie ab, deaktiviere das Plugin sofort.
3. Kein Download von Drittquellen: Installiere oder aktualisiere MonsterInsights ausschließlich über das offizielle WordPress-Plugin-Repository (wordpress.org) oder direkt über dein WordPress-Dashboard unter Plugins → Aktualisierungen. Jede andere Quelle ist aktuell als unsicher einzustufen.
4. Passwörter und API-Verbindungen prüfen: Falls du MonsterInsights Pro nutzt und dein Google Analytics-Konto verknüpft hast, prüfe unter Google-Konto → Sicherheit → Drittanbieter-Apps, ob die Verbindung unverändert ist. Im Zweifel: Verbindung trennen, neu autorisieren und Google-Passwort ändern.
5. Monitoring aktivieren: Nutze einen WordPress-Sicherheits-Scanner wie Wordfence oder Sucuri, um deine aktuelle Installation auf Dateiänderungen zu prüfen. Ein Scan dauert wenige Minuten und gibt dir Sicherheit darüber, ob deine bestehende Installation sauber ist.
Original-Artikel auf Search Engine Journal:
MonsterInsights Website Compromised And Sending Phishing Emails via @sejournal, @martinibuster ↗Mehr lesen
Steht deine Website auch in ChatGPT?
Buch dir einen 15-Min Call — wir zeigen dir live wo deine Seite in Google + AI Search aktuell unsichtbar ist.