WordPress ist bekannt für seine Flexibilität – und genau das macht es auch angreifbar. Eine kaum beachtete Funktion namens mu-plugins (Must-Use-Plugins) wird zunehmend von Hackern ausgenutzt, um sich unbemerkt Zugriff auf Webseiten zu sichern. Der Clou: Diese Plugins sind im Backend nicht sichtbar und lassen sich nicht einfach deaktivieren.
Was sind mu-plugins eigentlich?
Der Ordner /wp-content/mu-plugins/ ist nicht standardmäßig vorhanden, aber WordPress lädt automatisch jedes PHP-File darin – bei jedem Seitenaufruf. Ohne Rückfrage, ohne Plugin-Aktivierung und ohne Sichtbarkeit im klassischen Plugin-Menü.
- Sie erscheinen nicht unter „Installierte Plugins“
- Sie lassen sich nicht deaktivieren – außer durch Löschen per FTP
- Sie sind perfekt geeignet für persistente Backdoors
Irrtum: mu-plugins ist nur für Multisite?
Der Name ist irreführend: mu-plugins (Must-Use Plugins) stammt zwar aus der Zeit von WPMU, funktioniert aber in jeder WordPress-Installation – egal ob Single Site oder Multisite. Sobald der Ordner /wp-content/mu-plugins/ existiert, lädt WordPress ihn automatisch. Diese Sicherheitslücke betrifft also alle WordPress-Websites.
Beispiel: Hacker nutzen mu-plugins für unsichtbare Backdoors
Wie kürzlich The Hacker News berichtet, platzieren Angreifer manipulierte PHP-Dateien in diesem Ordner. Ein scheinbar harmloses Skript wie wp-index.php kann heimlich Schadcode nachladen und dauerhaften Admin-Zugriff gewähren – selbst wenn alle Plugins und Themes sauber erscheinen.
Warum du den Ordner unbedingt prüfen solltest
Gerade bei gehackten Seiten wird dieser Ordner oft übersehen. Selbst erfahrene Admins denken nicht daran, weil er so gut versteckt ist. Wenn du WordPress-Installationen betreust, solltest du regelmäßig prüfen:
ls -la wp-content/mu-plugins
Findest du dort Dateien, die du nicht kennst oder nicht dokumentiert hast – sofort löschen und Quellcode analysieren.
Vorsichtsmaßnahme: mu-plugins-Ordner absichern
Du kannst dich mit einem simplen Trick absichern: Lege den Ordner mu-plugins bewusst an – und verhindere, dass irgendjemand dort etwas speichern kann.
Empfohlene Absicherung unter Linux (Root erforderlich):
mkdir wp-content/mu-plugins chmod 000 wp-content/mu-plugins chown root:root wp-content/mu-plugins
Damit ist der Ordner vorhanden, aber komplett schreibgeschützt – für Plugins, Themes und auch für Angreifer. WordPress lädt nichts, du bekommst keine Fehler, und niemand kann dort heimlich Dateien einschleusen.
Alternative (wenn der Webserver Lesezugriff behalten soll):
mkdir wp-content/mu-plugins chmod 500 wp-content/mu-plugins chown www-data:www-data wp-content/mu-plugins
In diesem Fall kann WordPress den Ordner weiterhin lesen, aber nichts darin verändern oder neu schreiben.
Fazit
Der mu-plugins-Ordner ist kein Bug – aber definitiv ein Sicherheitsrisiko, wenn man ihn ignoriert. Wer eine saubere und sichere WordPress-Umgebung betreiben will, sollte diesen Ordner auf dem Schirm haben. Prüfen. Dokumentieren. Absichern.
Profi-Tipp: Du kannst mit einem einfachen Shell-Skript den Ordner überwachen und dir bei jeder Änderung eine E-Mail oder Slack-Nachricht schicken lassen.
Du willst so ein Monitoring oder brauchst Hilfe bei der Härtung deiner WP-Seite? Schreib mir – ich bin seit 1998 im Geschäft.