1. Ce qui s’est passé : découverte d’une porte dérobée dans des plug-ins WordPress
Un chercheur en sécurité, Austin Ginder d’Anchor Hosting, a révélé qu’une porte dérobée avait été intégrée à plusieurs plug-ins WordPress après leur rachat par une nouvelle entité nommée Essential Plugin. L’élément clé : la porte dérobée est restée dormante pendant des mois puis s’est activée au début du mois, injectant du code malveillant dans tout site utilisant ces plug-ins. Exemple précis : Essential Plugin annonce plus de 400 000 installations et 15 000 clients, tandis que le répertoire WordPress indique les plug-ins affectés sur plus de 20 000 installations actives.
2. Comment la compromission a été réalisée : un cas typique d’attaque sur la chaîne d’approvisionnement
L’attaque illustre une tactique courante : acheter un projet légitime pour y insérer un backdoor dans le code source, puis l’utiliser pour diffuser du code malveillant massivement. Points clés :
- Rachat du plug-in par une nouvelle entité
- Insertion discrète du code malveillant dans la base source
- Activation différée (porte dérobée dormante) pour maximiser l’impact
Exemples comparables à grande échelle : attaques sur la chaîne d’approvisionnement connues comme SolarWinds ou Codecov montrent la même logique, appliquée ici au monde WordPress.
3. Portée et conséquences pratiques pour les sites affectés
L’impact se mesure en risques concrets pour les propriétaires de sites : injection de scripts, redirections, création de comptes administrateurs cachés ou vol de données. Détails chiffrés et exemples :
- Plusieurs plug-ins retirés du répertoire WordPress et marqués « fermé définitivement »
- Sites vulnérables : installations WordPress avec ces plug-ins actifs (ex. > 20 000 installations actives selon WordPress.org)
- Exemple d’effet : un site e-commerce peut voir ses pages de paiement modifiées pour siphonner des informations
4. Signes d’infection et vérifications immédiates à réaliser
Si vous gérez un site WordPress, vérifiez rapidement la présence des plug-ins concernés et cherchez ces signes d’intrusion. Indicateurs concrets :
- Présence de fichiers ou scripts inconnus dans /wp-content/plugins/
- Modifications récentes de fichiers core ou de thèmes sans mise à jour initiée
- Trafic sortant inhabituel ou requêtes vers domaines tiers non reconnus
- Comptes administrateurs créés récemment
Exemple d’action immédiate : désactiver et supprimer le plug-in suspect, restaurer à partir d’une sauvegarde saine, puis changer les mots de passe administrateur et clés API.
5. Mesures concrètes pour nettoyer et limiter les dégâts
Procédure pratique recommandée, étape par étape :
- Isoler le site (mode maintenance ou mise hors ligne temporaire)
- Supprimer les plug-ins compromis et toutes leurs traces
- Restaurer depuis une sauvegarde antérieure à l’infection si possible
- Analyser les journaux, vérifier les comptes utilisateurs et les tâches CRON
- Changer les identifiants sensibles : mots de passe admin, clés API, accès FTP
- Appliquer des scans de sécurité (ex. scanners de fichiers PHP, comparaison des checksums)
Exemple précis : après suppression d’un plug-in compromis, surveiller pendant 30 jours les accès inattendus et vérifier les transactions pour les sites marchands.
6. Prévention et bonnes pratiques pour éviter la répétition
Adopter des habitudes pour réduire l’impact des futures attaques sur la chaîne d’approvisionnement :
- Installer uniquement des plug-ins provenant de sources fiables et vérifier les avis/commits
- Mettre en place des sauvegardes régulières et des environnements de staging pour tester les changements
- Limiter les permissions (principe du moindre privilège) et utiliser des comptes séparés
- Surveiller les notifications de transfert de propriété ou changements de mainteneur des projets utilisés
- Automatiser la détection d’anomalies et tenir un inventaire des composants tiers
Exemples pratiques : privilégier des plug-ins à code ouvert avec activité régulière sur leur dépôt, configurer une solution de monitoring des fichiers et des alertes sur les modifications, et exiger une validation manuelle avant d’accepter des mises à jour critiques.
En savoir plus sur L'ABESTIT
Subscribe to get the latest posts sent to your email.


