WordPress plugin suite hacked to push malware to thousands of sites

1 minute de lecture

Mis à jour : April 16, 2026

Compromission de la chaîne d’approvisionnement : La suite EssentialPlugin infectée

Plus de 30 extensions WordPress de la suite EssentialPlugin ont été compromises à la suite d’un changement de propriétaire. Un code malveillant, intégré volontairement depuis août 2025, a été activé récemment pour transformer des milliers de sites en vecteurs de spam et de redirections frauduleuses.

Points clés :

Infiltration par acquisition : Le nouveau propriétaire a introduit une porte dérobée (backdoor) dans l’ensemble des extensions après l’achat de l’entreprise.
Mécanisme sophistiqué : Le malware utilise une résolution d’adresse basée sur Ethereum pour communiquer avec son serveur de commande et contrôle (C2), rendant la détection difficile.
Dissimulation : Les contenus frauduleux sont invisibles pour les administrateurs, car ils ne sont affichés que lorsqu’ils sont servis à Googlebot.
Réaction de WordPress : L’équipe de sécurité de WordPress a fermé les extensions et forcé une mise à jour pour neutraliser la communication du malware, mais le nettoyage des fichiers système reste à la charge des administrateurs.

Vulnérabilités :

Il ne s’agit pas d’une faille classique (type CVE), mais d’une compromission de la chaîne d’approvisionnement logicielle (supply chain attack). Le code malveillant injecte des instructions dans wp-config.php via un fichier factice nommé wp-comments-posts.php.

Recommandations pour les administrateurs :

Vérification manuelle : La mise à jour automatique de WordPress ne supprime pas les injections existantes. Inspectez le fichier wp-config.php à la recherche de code suspect.
Audit de fichiers : Recherchez la présence du fichier malveillant wp-comments-posts.php (attention à la confusion avec le fichier légitime wp-comments-post.php) et vérifiez l’intégrité des autres fichiers système.
Nettoyage complet : En cas d’infection confirmée, restaurez le site à partir d’une sauvegarde saine antérieure à août 2025 ou effectuez une désinfection complète par un expert.
Gestion des extensions : Désinstallez tout plugin provenant de la suite EssentialPlugin par mesure de précaution.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

WordPress plugin suite hacked to push malware to thousands of sites

Compromission de la chaîne d’approvisionnement : La suite EssentialPlugin infectée

Partager sur

Vous pourriez aimer

[Guest Diary] Compromised DVRs and Finding Them in the Wild, (Thu, Apr 16th)

Vulnérabilité et compromission massive des enregistreurs vidéo (DVR)

[Webinar] Find and Eliminate Orphaned Non-Human Identities in Your Environment

La menace invisible : sécuriser les identités non humaines

US nationals behind DPRK IT worker laptop farm sent to prison

Infiltration d’entreprises américaines par des travailleurs nord-coréens : démantèlement d’un réseau

UAC-0247 Targets Ukrainian Clinics and Government in Data-Theft Malware Campaign

Campagne de cyberespionnage UAC-0247 contre les institutions ukrainiennes