Deux plugins WordPress populaires sont victimes d’une série de vulnérabilités critiques. Ces failles permettent à des hackers d’installer à distance des logiciels malveillants sur des milliers de sites. Plus de 8,7 millions de tentatives d’exploitation ont déjà été bloquées.
Des hackers exploitent actuellement des failles critiques dans deux plugins WordPress pour mener des cyberattaques. Les analystes de la Wordfence Threat Response Unit ont en effet découvert des vulnérabilités exploitées activement dans des plugins populaires, à savoir GutenKit et Hunk Companion. À deux, ils cumulent près de 50 000 installations. Selon les chercheurs, les cybercriminels se sont mis à exploiter massivement les vulnérabilités autour du 8 octobre 2025.
Les vulnérabilités permettent à un hacker non authentifié d’installer à distance des plugins malveillants sur un site. Il n’y a pas besoin d’avoir un accès administrateur ou de la moindre intervention humaine.
À lire aussi : 183 millions d’adresses mail et de mots de passe piratés – comment savoir si vous êtes touché par cette fuite massive ?
Comment les pirates exploitent les deux plugins vulnérables ?
Les deux plugins vulnérables exposent une API REST, un outil qui permet d’envoyer des commandes à un site par Internet, à tous les internautes. Normalement, cet outil n’est pas accessible en dehors des administrateurs et des utilisateurs authentifiés. Mal configurée, l’API ne vérifie pas si la personne qui fait la demande est autorisée. De facto, tout le monde peut envoyer des commandes.
Les pirates s’en sont rendu compte. Il y a quelques semaines, ils se sont mis à envoyer des commandes contenant l’URL d’un plugin infecté sur les sites vulnérables. Le serveur WordPress télécharge, installe et active automatiquement le plugin malveillant, sans contrôle d’authenticité ni vérification du code. Le plugin comporte une porte dérobée qui va permettre au pirate d’exécuter des commandes sur le serveur, d’installer d’autres malwares, de modifier le site ou de voler des données. Bref, l’attaquant peut faire tout ce qu’il veut sans que l’administrateur puisse faire que ce soit.
Installez vite le correctif
Les chercheurs précisent que les deux failles ont été identifiées et corrigées fin de l’année dernière. Les pirates visent donc les administrateurs qui ont négligé d’installer les correctifs. Les experts de la Wordfence Threat Response Unit demandent à toutes les personnes concernées de mettre à jour immédiatement leurs plugins.
Pour se protéger, il faut installer la version 2.1.1 de GutenKit et la version 1.9.0 de Hunk Companion, une version ultérieure. Ils conseillent aussi aux administrateurs de vérifier que leurs sites ne contiennent pas de plugins inconnus. Enfin, il vaut mieux bloquer les points d’entrée de l’API, afin qu’ils ne soient accessibles qu’aux personnes connectées et aux administrateurs.
Par prudence, jetez aussi un œil à l’historique pour vérifier que des commandes suspectes ne sont pas venues interagir avec le site. Plus de 8,7 millions de tentatives d’exploitation ont été bloquées par le pare-feu de Wordfence. C’est bien la preuve qu’il s’agit d’une « campagne d’exploitation massive ».
« Les pirates ont lancé une attaque massive les 8 et 9 octobre 2025, soit près d’un an après la divulgation initiale des failles. Une preuve claire que, malgré la publication des correctifs depuis longtemps, ces vulnérabilités restent activement exploitées », souligne Wordfence.
Le danger des plugins non mis à jour
Comme toujours, ce sont des plugins vulnérables qui servent de porte d’entrée aux cybercriminels. Il y a quelques mois, des chercheurs ont révélé qu’un virus nommé DollyWay avait compromis plus de 20 000 sites WordPress entre 2016 et 2025. Ces sites piratés servaient ensuite à rediriger les internautes vers des plateformes d’escroqueries en ligne. Là encore, ce sont des plugins WordPress non mis à jour qui ont servi de point d’entrée.
Les exemples de cet acabit ne manquent pas. Une faille détectée l’hiver dernier dans le plugin Really Simple Security a rendu plus de quatre millions de sites WordPress vulnérables. Peu avant, une autre brèche affectant Popup Builder, un outil de création de popups pour smartphones, avait déjà permis à des pirates de cibler plus de 3 000 sites.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.
Source :
Wordfence