Plus de 30 plugins WordPress ont été secrètement piégés lors du rachat de leur éditeur. Dans le code de ceux-ci, on trouvait une porte dérobée. Des centaines de milliers de sites sont exposés à des manipulations malveillantes.
Plus de 30 plugins WordPress ont été infectés par une porte dérobée (backdoor). Tous les plugins compromis font partie de la suite EssentialPlugin, qui propose des outils variés pour enrichir un site WordPress, dont des sliders, des galeries, des extensions WooCommerce, des utilitaires SEO et des thèmes.
Après une vaste enquête, Austin Ginder, fondateur de l’hébergeur WordPress Anchor Hosting, a découvert que la porte dérobée a été introduite clandestinement lors du rachat de la société WP Online Support, à l’origine d’EssentialPlugin, en août 2025. Ses investigations ont démontré que la porte dérobée se trouvait sur toutes les solutions de la suite, sans exception.
À lire aussi : Plus de 4 millions de sites en danger – une grave faille touche un plugin WordPress
Des instructions reçues depuis la blockchain
Comme l’a démontré Austin Ginder, le code malveillant est resté inactif pendant des mois. Ce n’est que récemment qu’il s’est réveillé. Une fois déclenché, le code contacte discrètement une infrastructure externe pour télécharger un fichier malveillant. C’est ce fichier qui est chargé d’injecter un malware dans le fichier de configuration central de WordPress.
Une fois bien installé dans le système, le virus peut recevoir des instructions pour générer des pages de spam, injecter des redirections dans le site ou afficher du faux contenu. En d’autres termes, tous les visiteurs des sites web ayant installé un plugin EssentialPlugin sont susceptibles de se faire piéger.
Pour passer sous le radar, les individus à l’origine de la cyberattaque se servent de la blockchain Ethereum. Inspirés par plusieurs groupes de hackers nord-coréens, ils cachent l’adresse de leur serveur de commande dans un contrat intelligent (smart contract) sur le réseau décentralisé. L’utilisation de la chaîne de blocs protège les pirates contre les éventuelles offensives des autorités. Il n’est en effet pas possible d’effacer un contenu de la blockchain. Cette technique est connue sous le nom d’EtherHiding.
Mise à jour forcée
Face aux signalements, WordPress.org a réagi rapidement en forçant une mise à jour sur tous les sites concernés, coupant ainsi la communication avec le serveur de commande sur la blockchain. Malheureusement, le fichier malveillant reste caché sur le site. Tous les administrateurs sont invités à supprimer manuellement le fichier à l’origine de la cyberattaque. Par mesure de précaution, il vaut mieux nettoyer scrupuleusement l’intégralité du fichier de configuration central de WordPress. Enfin, les administrateurs concernés doivent immédiatement désactiver et supprimer tout plugin de la suite EssentialPlugin. Avant ce scandale d’envergure, la suite EssentialPlugin totalisait plus de 400 000 installations actives au total.
Il n’est pas rare que des plugins malveillants, ou simplement vulnérables, mettent en danger les internautes. Début d’année, une faille critique a été débusquée dans un plugin WordPress installé sur 100 000 sites web. Quelques mois plus tôt, un malware a réussi à infecter plus de 20 000 sites WordPress en exploitant des plugins défaillants.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Bleeping Computer