● Siècle Digital 📅 17/04/2026 à 09:47

Cybersécurité 👤 Jennifer Larcher

🏷️ Tags : exécution de code réseau rte

Cybersécurité WordPress&nbsp: des milliers de sites exposés après le piratage de plugins populaires Un anonyme a racheté trente plugins WordPress sur un marketplace public et planté une backdoor dans la totalité du portefeuille. Par Jennifer Larcher Publié le 17 avril 2026 à 09h47 Le 8 avril, WordPress.org a décidé de fermer 31 extensions. Même éditeur, même portefeuille, même attaque, mais que s’est-il passé&nbsp?. Il faut remonter à fin 2024, quand Minesh Shah, cofondateur du studio derrière la suite Essential Plugin, a mis en vente l’ensemble de ses outils sur Flippa. Cette dernière est une marketplace spécialisée dans la cession d’actifs numériques. Les revenus avaient chuté sérieusement, l’heure était au bilan. Un acheteur connu sous le pseudonyme Kris a raflé pour une somme à six chiffres. Flippa, loin de flairer l’anomalie, a même publié une étude de cas qui valorisait la transaction. La marketplace ignorait apparemment que le premier commit SVN du nouvel acquéreur contenait déjà la backdoor. Glissée dans la version 2.6.7 le 8 août 2025, camouflée sous la note anodine Check compatibility with WordPress version 6.8.2, elle représentait en réalité 191 lignes de PHP supplémentaires qui ouvraient une porte d’exécution de code à distance. Le malware a ensuite dormi exactement huit mois. Puis les 5 et 6 avril, il s’est réveillé. Invisible pour l’administrateur, mais visible pour Google Le mode opératoire révèle un niveau de sophistication rare. 📩 L’actu digitale évolue vite. Restez à jour.Recevez la newsletter quotidienne, gratuitement. En vous inscrivant vous acceptez notre politique de protection des données personnelles. Une fois activé, le code injectait du spam directement dans le fichier de configuration central de WordPress. Il ciblait exclusivement le robot d’indexation de Google. Un administrateur qui naviguait normalement sur son propre site ne voyait rien d’anormal. Les dégâts se lisaient dans les résultats de recherche et non dans l’interface. Des milliers de sites propres en apparence se faisaient lentement polluer dans les index de Google. La blockchain comme infrastructure indestructible L’attaque a clairement franchi un seuil technique rarement atteint à cette échelle. Pour piloter ses serveurs de commande, le malware ne s’appuyait pas sur un domaine classique qu’un registrar peut suspendre ou qu’un hébergeur peut couper. Il interrogeait un smart contract déployé sur le réseau Ethereum. Un contrat intelligent sur la blockchain est permanent par définition. L’attaquant pouvait reconfigurer ses serveurs cibles simplement en mettant à jour le contrat en étant hors de portée d’une autorité centralisée. Austin Ginder, fondateur d’Anchor Hosting et auteur de l’enquête, souligne que c’est la première fois que cette technique connue sous le nom d’EtherHiding est étudiée à cette échelle dans un écosystème WordPress. WordPress.org a répondu avec une mise à jour forcée vers la version 2.6.9.1. Elle a coupé la communication avec l’infrastructure blockchain. Toutefois, le fichier malveillant reste présent sur les sites infectés avant cette date. Les administrateurs concernés (sur un portefeuille qui totalisait plus de 400 000 installations actives) doivent nettoyer manuellement leur configuration. Wordpress

🔗 Lire l'article original 👁️ 0 lecture