Plugins WordPress infectés après changement de propriétaire Des plugins WordPress compromis après un changement de propriétaire, avec une porte dérobée et des risques de spam SEO, soulèvent des questions de sécurité et de traçabilité.
Des plugins WordPress infectés après changement de propriétaire ont été révélés lorsque une trentaine d’extensions ont été compromises après leur rachat, et une porte dérobée a été introduite pour permettre à un individu malveillant de prendre le contrôle des sites. L’affaire met en lumière un risque souvent négligé: la sécurité peut vaciller lors des transferts de propriété et, par conséquent, les administrateurs doivent rester vigilant même après l’installation d’une mise à jour.
Comment s’est déroulé le mécanisme d’attaque et qui est touché
EssentialPlugin, une société indienne fondée en 2015 sous le nom WP Online Support, a développé plus de 30 plugins pour WordPress. Ces extensions couvrent des besoins courants des sites, comme des compte à rebours, des carrousels, des lecteurs média, des FAQ et des galeries. Certaines de ces extensions comptent des dizaines de milliers, voire des centaines de milliers d’installations.
Suite à un fort repli de revenus fin 2024, EssentialPlugin a été mis en vente sur Flippa. Un acheteur identifié sous le nom « Kris » a acquis l’entreprise pour un montant à six chiffres, selon la chronologie publiée par Austin Ginder.
En mai 2025, le compte développeur d’EssentialPlugin sur WordPress.org passe sous la nouvelle direction, et en août est publiée la version 2.6.7 de l’extension Countdown Timer Ultimate. Officiellement, cette mise à jour visait à ajouter la compatibilité avec WordPress 6.8.2, mais, dans l’ombre, le nouveau propriétaire a inséré une porte dérobée. D’autres plugins de l’éditeur ont été affectés par un mécanisme similaire, avec des numéros de version différents. L’activation de la charge malveillante est décrite comme dormant pendant environ huit mois avant de s’activer le 5 avril.
Ce que fait la porte dérobée et les risques pour les sites
Concrètement, l’attaque ne perturbe pas le fonctionnement normal des sites, mais les transforme en relais discrets de spams SEO via une injection de code dans le fichier critique wp-config.php. Cela se manifeste par l’ajout de pages, de liens et de redirections frauduleuses. Le contenu malveillant est invisible pour l’administrateur, mais il est détectable par les moteurs de recherche, ce qui peut entraîner une dégradation du référencement et, à terme, une perte de crédibilité.
Les conséquences pour les administrateurs sont lourdes: le nettoyage du site est complexe, car une simple mise à jour du plugin ne suffira pas. L’infrastructure pirate, appelée C2, peut changer d’adresse dynamiquement et s’appuie sur des mécanismes basés sur la blockchain Ethereum, rendant le blocage plus difficile et le retour à l’état sain long et coûteux.
Réactions de l’écosystème et limites observées
Face à la menace, l’équipe Plugins de WordPress.org a rapidement réagi: le 7 avril, elle a bloqué les plugins de l’éditeur EssentialPlugin. Toutefois, le dispositif actuel ne prévoit pas de signalement des transferts de propriété, ce qui limite l’information des utilisateurs et des administrateurs avant qu’un incident ne survienne. Pour aider les sites touchés, Austin Ginder recommande une approche proposée autour d’outils tels que Claude Code afin de supprimer les modules vérolés, bien que ces recommandations n’offrent pas de solution universelle et immédiate.
Ce mode opératoire n’est pas inédit: Widget Logic, autre extension bien connue, a déjà été rachetée par un nouveau propriétaire qui a profité de ce passage de témoin pour y insérer du code malveillant. Le phénomène, s’il est loin d’être généralisé, rappelle que les chaînes de valeur des plugins WordPress comportent des maillons vulnérables et que la sécurité ne s’arrête pas à une mise à jour de compatibilité.
Pour terminer
Cette affaire illustre un risque structurel dans l’écosystème WordPress: lors du rachat d’un plugin, le contrôle de la sécurité et des accès n’est pas automatiquement réinitialisé, et une porte dérobée peut demeurer active pendant des mois. Elle appelle à des mécanismes de traçabilité des transferts de propriété et à des contrôles de sécurité renforcés, afin de prévenir les infections et de préserver la confiance des administrateurs et des utilisateurs.
- Impact : injection dans wp-config.php et redirections frauduleuses invisibles à l’administrateur.
- Réaction : blocage rapide des plugins concernés par WordPress.org.
