30 plugins WordPress compromis : des centaines de milliers de sites en péril

Une faille majeure menace des centaines de milliers de sites web. Une porte dérobée cachée dans des plugins populaires a été activée après des mois d'inactivité, ouvrant la porte à des intrusions malveillantes. Comment cette cybermenace a-t-elle pu se propager sans être détectée pendant si longtemps.

Anthony Picaud16 avr. 20262 min 2

100%

Crédit photo : Photo: Jakub Żerdzicki/Unsplash

Une cyberattaque d'envergure vient de secouer l'écosystème WordPress. Plus de trente extensions populaires, regroupées sous la suite EssentialPlugin, ont été secrètement infectées par une porte dérobée lors du rachat de leur éditeur en août 2025. Ce subterfuge, révélé par Austin Ginder, fondateur de l'hébergeur WordPress Anchor Hosting, expose désormais des centaines de milliers de sites à des manipulations frauduleuses.

L'enquête menée par Austin Ginder a permis de retracer l'origine de cette intrusion. La société WP Online Support, à l'origine d'EssentialPlugin, a été rachetée en 2025, moment où le code malveillant a été inséré dans l'ensemble de ses solutions. Le mécanisme de cette porte dérobée est particulièrement retors : inactif pendant des mois, il s'active à distance pour contacter une infrastructure externe et télécharger un fichier malveillant.

Une menace dormante devenue réalité

Une fois implanté, ce malware se manifeste par des injections de pages de spam, des redirections frauduleuses ou l'affichage de contenu trompeur. Les visiteurs des sites compromis deviennent alors des cibles potentielles. Pour échapper aux contrôles, les pirates ont exploité une technique sophistiquée inspirée des méthodes nord-coréennes : l'EtherHiding. Cette approche utilise la blockchain Ethereum pour dissimuler l'adresse de leur serveur de commande dans un contrat intelligent, rendant toute suppression impossible.

Face à cette menace, WordPress.org a réagi promptement en forçant une mise à jour automatique sur les sites concernés, coupant ainsi la communication avec le serveur pirate. Pourtant, le fichier malveillant persiste dans les configurations des sites. Les administrateurs sont donc invités à le supprimer manuellement et à désinstaller l'intégralité des plugins de la suite EssentialPlugin, dont les plus de 400 000 installations actives faisaient jusqu'alors la popularité.

La blockchain comme bouclier des cybercriminels

Le scandale révèle une fois de plus la vulnérabilité des plateformes en ligne face aux cybermenaces. Les experts s'inquiètent de la récurrence de ces attaques, comme en témoignent les failles critiques découvertes dans d'autres plugins WordPress, touchant jusqu'à 100 000 sites. Cette affaire souligne l'urgence d'une vigilance accrue et d'une sécurisation renforcée des outils numériques, dans un contexte où les données et la confiance des utilisateurs sont plus que jamais en jeu.

Sources :

01net

Votre soutien est plus essentiel que jamais.

Cet article vous est offert gratuitement par NATIONO. Notre rédaction garantit son indépendance en refusant toute influence. Votre contribution, même modeste, est le moteur de notre liberté.

Soutenir NATIONO