● 01net 📅 16/04/2026 à 07:45

Des centaines de milliers de sites en danger : une porte dérobée a été découverte dans 30 plugins WordPress

Cybersécurité 👤 Florian Bayard
Illustration
© 01net avec Gemini Plus de 30 plugins WordPress ont été secrètement piégés lors du rachat de leur éditeur. Dans le code de ceux-ci, on trouvait une porte dérobée. Des centaines de milliers de sites sont exposés à des manipulations malveillantes. Plus de 30 plugins WordPress ont été infectés par une porte dérobée (backdoor). Tous les plugins compromis font partie de la suite EssentialPlugin, qui propose des outils variés pour enrichir un site WordPress, dont des sliders, des galeries, des extensions WooCommerce, des utilitaires SEO et des thèmes. Après une vaste enquête, Austin Ginder, fondateur de l’hébergeur WordPress Anchor Hosting, a découvert que la porte dérobée a été introduite clandestinement lors du rachat de la société WP Online Support, à l’origine d’EssentialPlugin, en août 2025. Ses investigations ont démontré que la porte dérobée se trouvait sur toutes les solutions de la suite, sans exception. À lire aussi : Plus de 4 millions de sites en danger – une grave faille touche un plugin WordPress Des instructions reçues depuis la blockchain Comme l’a démontré Austin Ginder, le code malveillant est resté inactif pendant des mois. Ce n’est que récemment qu’il s’est réveillé. Une fois déclenché, le code contacte discrètement une infrastructure externe pour télécharger un fichier malveillant. C’est ce fichier qui est chargé d’injecter un malware dans le fichier de configuration central de WordPress. Une fois bien installé dans le système, le virus peut recevoir des instructions pour générer des pages de spam, injecter des redirections dans le site ou afficher du faux contenu. En d’autres termes, tous les visiteurs des sites web ayant installé un plugin EssentialPlugin sont susceptibles de se faire piéger. Pour passer sous le radar, les individus à l’origine de la cyberattaque se servent de la blockchain Ethereum. Inspirés par plusieurs groupes de hackers nord-coréens, ils cachent l’adresse de leur serveur de commande dans un contrat intelligent (smart contract) sur le réseau décentralisé. L’utilisation de la chaîne de blocs protège les pirates contre les éventuelles offensives des autorités. Il n’est en effet pas possible d’effacer un contenu de la blockchain. Cette technique est connue sous le nom d’EtherHiding. Mise à jour forcée Face aux signalements, WordPress.org a réagi rapidement en forçant une mise à jour sur tous les sites concernés, coupant ainsi la communication avec le serveur de commande sur la blockchain. Malheureusement, le fichier malveillant reste caché sur le site. Tous les administrateurs sont invités à supprimer manuellement le fichier à l’origine de la cyberattaque. Par mesure de précaution, il vaut mieux nettoyer scrupuleusement l’intégralité du fichier de configuration central de WordPress. Enfin, les administrateurs concernés doivent immédiatement désactiver et supprimer tout plugin de la suite EssentialPlugin. Avant ce scandale d’envergure, la suite EssentialPlugin totalisait plus de 400 000 installations actives au total. Il n’est pas rare que des plugins malveillants, ou simplement vulnérables, mettent en danger les internautes. Début d’année, une faille critique a été débusquée dans un plugin WordPress installé sur 100 000 sites web. Quelques mois plus tôt, un malware a réussi à infecter plus de 20 000 sites WordPress en exploitant des plugins défaillants. 👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp. Source : Bleeping Computer cyberattaqueHébergeur WordPress Florian Bayard Sur le même sujet Fuite de données à l’Éducation nationale : une nouvelle cyberattaque a compromis les informations de millions d’élèves Cette plateforme pirate capable de contourner la double authentification vient d’être saisie par le FBI Victime d’une fuite massive de données, Basic-Fit minimise la cyberattaque et raconte n’importe quoi Mystère sur les smartphones Samsung : un administrateur inconnu s’empare brusquement de certains Galaxy Meilleur antivirus 2026 : quel est le meilleur choix ? Quel est le meilleur VPN ? Meilleur stockage cloud en 2026 : lequel choisir ? Comment accéder au Dark Web ? Tutoriel 3 étapes Meilleur gestionnaire de mots de passe : le guide en avril 2026 Meilleur VPN gratuit : 7 services à choisir et 2 à fuir Les dernières actualités Des centaines de milliers de sites en danger : une porte dérobée a été découverte dans 30 plugins WordPress iPhone Fold : attendez-vous à des ruptures de stock, Apple prévoirait des quantités limitées DJI Osmo Pocket 3 : la caméra pensée pour les vlogs devient ultra-attractive (-40%) ⚡️ Les « Skills » débarquent sur Google Chrome, qu’est-ce que ça va changer ? Galaxy Watch Ultra 2025 : la montre connectée premium de Samsung chute à -57% 😱 Samsung Wallet : pourquoi vous risquez de perdre une « fonction clé » de votre Galaxy (au sens propre) Amazon met la main sur le réseau satellite de l’iPhone Cette appli offre à Windows 11 une fonction très pratique de macOS Les tests à la une AirPods Pro 3 Google Pixel 9a Google Pixel 10 Google Pixel 10 Pro XL iPhone 17 iPhone 17 Pro iPhone 16e Samsung Galaxy S25 Samsung Galaxy S25 Ultra Samsung Galaxy A56 Samsung Galaxy A26 Samsung Galaxy A17 Starlink Xiaomi Redmi Note 14 4G Xiaomi Redmi Note 14 Pro Xiaomi 15T Pro
← Retour