Alerte pour l’écosystème WordPress avec la découverte d’une attaque d’ampleur de la chaîne d’approvisionnement. Plus de 30 plugins de la suite Essential Plugin, totalisant des centaines de milliers d’installations, ont été délibérément corrompus après le rachat de l’entreprise par un nouvel acquéreur. Ce dernier y a implanté un code malveillant pour compromettre les sites utilisant ces extensions.
Comment l’attaque a-t-elle eu lieu ?
L’opération a débuté début 2025, lorsque l’ensemble du portefeuille d’Essential Plugin a été vendu pour un montant à six chiffres sur la place de marché Flippa à un acheteur connu sous le pseudonyme Kris. Dès sa première intervention sur le code en août 2025, ce nouvel acquéreur a intégré une porte dérobée.
Selon l’analyse d’Austin Ginder, fondateur d’Anchor Hosting qui a révélé l’affaire, la backdoor est restée dormante pendant 8 mois avant d’être activée. Une fois active, elle contactait un serveur de commande et de contrôle pour télécharger et injecter du code malveillant directement dans le fichier de configuration principal wp-config.php.
Quel était l’objectif du code malveillant ?
Le code injecté était discret et conçu pour du Black Hat SEO. Austin Ginder explique que le malware récupérait des liens de spam, des redirections et de fausses pages depuis un serveur. La subtilité résidait dans le fait qu’il ne montrait le spam qu’à Googlebot, le rendant invisible pour les propriétaires de sites.
Pour échapper aux mesures de blocage classiques, le système utilisait même un smart contract sur la blockchain Ethereum afin de résoudre l’adresse de son serveur de commande et de contrôle, rendant toute tentative de mise hors service du domaine bien plus complexe.
Des mesures prises ont été prises (ou à prendre)
Face à cette situation, l’équipe de WordPress.org a réagi en retirant de manière permanente les plugins concernés de son catalogue officiel. Une mise à jour forcée a également été déployée pour neutraliser le mécanisme d’appel de la backdoor.
Cependant, les développeurs ont prévenu que cette action ne nettoie pas le fichier wp-config.php déjà infecté. Les administrateurs de sites web doivent inspecter manuellement ce fichier, supprimer tout code suspect et retirer définitivement les plugins de la suite Essential Plugin.