Une attaque par la cha\u00eene d’approvisionnement a frapp\u00e9 WordPress d\u00e9but avril. Un individu a rachet\u00e9 une trentaine de plugins via la marketplace Flippa, y a inject\u00e9 du code malveillant et a attendu huit mois avant de l’activer. WordPress a ferm\u00e9 les 31 plugins concern\u00e9s le 7 avril, mais la mise \u00e0 jour officielle ne suffit pas \u00e0 nettoyer les sites touch\u00e9s.<\/p>\n
L’attaque est redoutable par sa simplicit\u00e9. Un individu, identifi\u00e9 sous le pr\u00e9nom “Kris”, a rachet\u00e9 pour plusieurs centaines de milliers d’euros un catalogue d’une trentaine de plugins WordPress sur Flippa, une marketplace de vente de sites et d’extensions. Ces plugins appartenaient \u00e0 la soci\u00e9t\u00e9 Essential Plugin \/ WP Online Support. Ils \u00e9taient actifs, mis \u00e0 jour, et install\u00e9s sur des milliers de sites.<\/p>\n
En achetant le catalogue, l’acheteur a r\u00e9cup\u00e9r\u00e9 l’acc\u00e8s au d\u00e9p\u00f4t officiel\u00a0WordPress.org<\/a>\u00a0et a pu pousser des mises \u00e0 jour directement aux utilisateurs. Le code malveillant a \u00e9t\u00e9 inject\u00e9 d\u00e8s ao\u00fbt 2025, mais il est rest\u00e9 dormant pendant huit mois. L’activation a eu lieu les 5 et 6 avril 2026.<\/p>\n C\u00f4t\u00e9 technique, l’attaque est assez vicieuse. Le module inject\u00e9 (wpos-analytics) utilise une d\u00e9s\u00e9rialisation PHP pour communiquer avec un serveur de commande. Et l\u00e0, le point int\u00e9ressant : au lieu d’utiliser un domaine classique pour piloter la backdoor, le malware r\u00e9sout l’adresse de son serveur C2 via un smart contract Ethereum, en interrogeant des points d’acc\u00e8s RPC publics. R\u00e9sultat, couper un nom de domaine ne sert \u00e0 rien. L’attaquant peut mettre \u00e0 jour le smart contract \u00e0 tout moment pour pointer vers un nouveau serveur.<\/p>\n Le payload injecte du code dans le fichier wp-config.php (environ 6 Ko) et cr\u00e9e un fichier wp-comments-posts.php, un nom assez proche des fichiers l\u00e9gitimes pour passer inaper\u00e7u. Le tout sert \u00e0 afficher du spam SEO (liens, redirections, fausses pages) uniquement \u00e0 Googlebot, ce qui rend l’attaque invisible pour le propri\u00e9taire du site.<\/p>\n WordPress.org<\/a>\u00a0a ferm\u00e9 les 31 plugins touch\u00e9s le 7 avril et a pouss\u00e9 une mise \u00e0 jour forc\u00e9e le lendemain. Sauf que cette mise \u00e0 jour ne nettoie pas le fichier wp-config.php, qui est le vrai point de persistance de la backdoor. Si vous avez l’un de ces plugins install\u00e9 (Countdown Timer Ultimate, Popup Anything on Click, Post Grid and Filter Ultimate, WP Slick Slider, Album and Image Gallery Plus Lightbox, Responsive WP FAQ, entre autres), il faut aller v\u00e9rifier votre wp-config.php manuellement et chercher un bloc de code d’environ 6 Ko qui n’a rien \u00e0 y faire. Le fichier wp-comments-posts.php \u00e0 la racine du site doit aussi \u00eatre supprim\u00e9 s’il est pr\u00e9sent.<\/p>\n La vraie le\u00e7on ici, c’est que la confiance dans un plugin WordPress repose sur son historique, et qu’un changement de propri\u00e9taire peut tout remettre en question du jour au lendemain.\u00a0WordPress.org<\/a>\u00a0ne v\u00e9rifie pas les changements de mains sur les comptes d\u00e9veloppeurs, et n’a aucun m\u00e9canisme d’alerte quand un catalogue entier passe \u00e0 un nouvel acheteur. Tant que ce trou existe, ce genre d’attaque peut se reproduire. Et le fait que la mise \u00e0 jour officielle ne nettoie m\u00eame pas les sites infect\u00e9s, c’est quand m\u00eame un probl\u00e8me.<\/p>\n