Quelqu'un a acheté 30 plugins WordPress et y a installé une porte dérobée
Quelqu'un a acheté 30 plugins WordPress et y a installé une porte dérobée :
comment un acheteur anonyme a transformé huit ans de confiance en infrastructure d'attaque dormante pendant huit mois
Début avril 2026, trente et un plugins WordPress ont été fermés en une seule journée par l'équipe de WordPress.org. Derrière cette décision d'urgence : une attaque méthodique par chaîne d'approvisionnement, dont la charge malveillante est restée dormante huit mois, qui a compromis des centaines de milliers de sites en passant inaperçue. Ce n'est pas un exploit technique spectaculaire. C'est une opération d'acquisition commerciale soigneusement planifiée, avec un nom de vendeur sur Flippa, un contrat de cession à six chiffres et un premier commit SVN qui était déjà le cheval de Troie.
L'histoire commence au début 2025 dans un registre parfaitement banal : celui d'une PME numérique en déclin. L'équipe indienne à l'origine du portfolio « Essential Plugin » (anciennement connue sous le nom WP Online Support, fondée vers 2015 par Minesh Shah, Anoop Ranawat et Pratik Jain) avait bâti au fil des ans une trentaine d'extensions WordPress gratuites, assorties de versions premium. Des outils courants : sliders, compteurs à rebours, galeries, composants WooCommerce, FAQ, témoignages clients. Rien d'exceptionnel, mais une présence établie et une confiance accumulée depuis des années auprès de centaines de milliers d'utilisateurs.
Vers la fin 2024, les revenus avaient chuté de 35 à 45 %. Minesh Shah a mis l'ensemble de l'activité en vente sur Flippa, la place de marché spécialisée dans la cession de sites, applications et portefeuilles numériques. L'opération a été suffisamment notable pour que Flippa en tire un cas d'usage publicitaire, publié en juillet 2025. L'acquéreur, identifié sous le pseudonyme « Kris », affichait un profil centré sur le SEO, les cryptomonnaies et le marketing pour le secteur des jeux d'argent en ligne. Le prix : un montant à six chiffres, en dollars.
Ce transfert de propriété a eu lieu au vu et au su de tous. Les archives publiques de Flippa, les métadonnées SVN de WordPress.org, le WHOIS du domaine essentialplugin.com mis à jour au nom d'une certaine « Kim Schmidt » à Zurich avec une adresse ProtonMail : tout était là. WordPress.org n'a pourtant mis en place aucun mécanisme permettant de signaler ou d'examiner les transferts de propriété de plugins. Aucune notification aux utilisateurs lors d'un changement de contrôle. Aucune revue de code automatiquement déclenchée par l'apparition d'un nouveau committer.
Un backdoor caché dans un changelog mensonger
Le 12 mai 2025, un nouveau compte WordPress.org dénommé essentialplugin a été créé, héritant des accès SVN à l'ensemble du portfolio. Le premier commit de ce compte, daté du 8 août 2025, concernait la version 2.6.7 de Countdown Timer Ultimate. Le changelog indiquait laconiquement : « Vérification de la compatibilité avec WordPress version 6.8.2. »
En réalité, ce commit ajoutait 191 lignes de code au fichier class-anylc-admin.php du module wpos-analytics, un composant présent de longue date dans les plugins sous forme d'outil d'opt-in analytique. Le code introduisait trois éléments : une méthode fetch_ver_info() appelant file_get_contents() vers un serveur contrôlé par l'attaquant et passant la réponse à @unserialize() ; une méthode version_info_clean() exécutant @$clean($this->version_cache, $this->changelog) avec des valeurs entièrement issues des données désérialisées ; enfin, un point d'entrée REST API non authentifié avec permission_callback: __return_true.
C'est un appel de fonction arbitraire dans sa forme la plus classique : le serveur distant contrôle le nom de la fonction, ses arguments, son exécution. Pendant huit mois, le serveur de l'attaquant a simplement répondu normalement, sans rien déclencher. La porte était posée. La clef attendait.
L'activation : le 5 avril 2026
Le 5 avril 2026, la porte s'est ouverte. Le module wpos-analytics a commencé à émettre une requête vers analytics.essentialplugin.com, récupérant un fichier malveillant dénommé wp-comments-posts.php (conçu pour ressembler au fichier légitime wp-comments-post.php du cœur de WordPress) et l'utilisant pour injecter un bloc PHP massif dans wp-config.php.
La charge utile était sophistiquée. Le code injecté récupérait des liens de spam, des redirections et de fausses pages depuis un serveur de commande et contrôle (C2). Il ne les affichait qu'à Googlebot, les rendant invisibles aux propriétaires des sites. Surtout, il résolvait le domaine C2 via un contrat intelligent Ethereum, en interrogeant des points RPC publics de la blockchain, rendant tout blocage de domaine traditionnel inopérant, puisque l'attaquant pouvait à tout moment mettre à jour le contrat pour pointer vers un nouveau serveur.
C'est Austin Ginder, de la société d'hébergement Anchor Hosting, qui a découvert et documenté l'incident en pratiquant une analyse forensique sur le site d'un client. En comparant des sauvegardes journalières du fichier wp-config.php via des instantanés horodatés, il a pu identifier une fenêtre d'injection de 6 heures et 44 minutes le 6 avril 2026, entre 04h22 et 11h06 UTC.
La réponse de WordPress.org : rapide, mais incomplète
Le 7 avril 2026, l'équipe Plugins de WordPress.org a pris une mesure radicale : fermeture permanente de l'ensemble des 31 plugins du compte Essential Plugin en une seule journée. Le lendemain, une mise à jour forcée vers la version 2.6.9.1 a été poussée automatiquement sur tous les sites concernés.
Mais cette mise à jour n'était qu'un pansement. Elle ajoutait des instructions return; pour désactiver la fonction de rappel vers le serveur distant, mais ne touchait pas wp-config.php. Les sites compromis avant le 8 avril continuaient donc de servir du spam dissimulé à Google, même après la mise à jour du plugin. Le module wpos-analytics restait présent, intact, dans le code source. Ginder a lui-même produit des versions corrigées avec le module entièrement supprimé pour les sites hébergés dans sa flotte.
Ce n'est pas la première fois que WordPress.org se retrouve dans cette situation. En 2017, un acheteur utilisant le pseudonyme « Daley Tias » avait acquis le plugin Display Widgets (200 000 installations) pour 15 000 dollars avant d'y injecter du spam lié aux prêts à la consommation et de poursuivre la même opération sur au moins neuf autres plugins. Près de dix ans plus tard, le même schéma se reproduit à une échelle bien supérieure.
La semaine de tous les dangers : Essential Plugin n'était pas seul
L'affaire Essential Plugin ne s'est pas produite dans le vide. Le 7 avril 2026, un acteur non identifié avait également accédé à l'infrastructure de mise à jour de Nextend, l'éditeur du plugin Smart Slider 3, pour diffuser une version malveillante (3.5.1.35 Pro) via le canal officiel de mise à jour. Tout site ayant effectué cette mise à jour pendant une fenêtre d'environ six heures avant détection a reçu un outillage complet d'accès à distance. Smart Slider 3 comptait alors plus de 800 000 installations actives. Deux attaques de chaîne d'approvisionnement WordPress en moins d'une semaine.
Hedge Hog Security explique :
« Le 7 avril 2026, une personne non autorisée a accédé à l'infrastructure de mise à jour de Nextend, l'entreprise à l'origine de Smart Slider 3, une extension WordPress populaire pour la création de diaporamas, comptant plus de 800*000 installations actives dans ses versions gratuite et Pro. L'attaquant a diffusé une version entièrement malveillante (3.5.1.35 Pro) via le canal de mise à jour officiel. Tout site ayant effectué une mise à jour automatique ou manuelle durant les six heures précédant la détection a reçu un kit d'outils d'accès à distance complet.
« Il s'agit d'une attaque de type «*suppression de la chaîne d'approvisionnement*», la forme la plus insidieuse de compromission, car le code malveillant a été distribué via un canal de confiance auquel les administrateurs de sites avaient toutes les raisons de faire confiance. La mise à jour semblait légitime. Elle provenait du serveur de mise à jour officiel et s'est installée silencieusement, comme n'importe quelle autre mise à jour d'extension.
« L'attaque de la chaîne d'approvisionnement de Smart Slider illustre une vérité profondément dérangeante pour les administrateurs de sites WordPress*: même une application rigoureuse des correctifs – la pratique de sécurité la plus importante – peut se retourner contre vous si l'infrastructure de mise à jour elle-même est compromise. Les propriétaires des sites touchés ont agi de manière exemplaire en maintenant leurs extensions à jour. Leur bonne pratique de sécurité a été sanctionnée par la compromission de la chaîne d'approvisionnement en amont.
« Cela ne signifie pas qu'il faille cesser de mettre à jour vos extensions*: le risque lié à l'utilisation d'un logiciel non corrigé dépasse largement celui d'une compromission de la chaîne d'approvisionnement. En revanche, cela signifie que des mesures de protection supplémentaires sont essentielles*: pare-feu applicatifs web capables de détecter les comportements anormaux, surveillance de l'intégrité des fichiers alertant en cas de modifications inattendues, analyses de sécurité régulières et, surtout, la possibilité de restaurer les données à partir de sauvegardes fiables en cas de compromission. »
Un marché de plugins sans vérification de propriété
Ce qui frappe dans l'affaire Essential Plugin, c'est moins la sophistication technique que la facilité opérationnelle. L'attaquant n'a eu besoin ni de compromettre un système, ni de voler des identifiants, ni de trouver une vulnérabilité. Il a simplement acheté des logiciels distribués à des centaines de milliers d'utilisateurs, puis les a transformés en vecteurs d'attaque avec son premier commit.
Comme le souligne un observateur, les cryptomonnaies ont transformé ce qui était autrefois une activité marginale en une entreprise pesant plusieurs milliards de dollars, capable d'attirer jusqu'à des États voyous. Avec de tels enjeux financiers, les attaquants peuvent se permettre d'acheter des dépendances logicielles directement. La surface d'attaque que représente un marché de plugins non régulé, où des milliers de développeurs individuels vendent ou abandonnent des extensions installées par des millions de sites, est considérable.
La surface d'attaque spécifique à l'écosystème WordPress tient au fait qu'il encourage ses utilisateurs à déployer de nombreuses extensions mono-usage issues de développeurs indépendants, dont la plupart ne sont pas des organisations axées sur la sécurité. Racheter un plugin établi avec une large base d'installation est une stratégie redoutablement efficace, car l'acheteur hérite de la confiance accumulée pendant des années par le développeur d'origine. Les notifications de mise à jour fonctionnent comme un signal implicite de confiance : les utilisateurs voient « mise à jour disponible » et cliquent sans s'interroger sur l'identité de l'auteur actuel.
La solution technique existe pourtant en partie : transparence des transferts de propriété, signature de paquets, revue de code déclenchée automatiquement lors d'un changement de committer, notification aux utilisateurs lors d'une cession. Ces mécanismes existent à des degrés divers dans d'autres écosystèmes (le gestionnaire de paquets de Go intègre nativement plusieurs résistances structurelles à ce type d'attaque), mais WordPress.org n'en a, à ce jour, pas équipé son infrastructure.
Sources : Hedge Hog Security, anchor
Et vous ?
La responsabilité de Flippa : une place de marché facilitant la cession de logiciels déployés sur des millions de sites a-t-elle une obligation de diligence envers les utilisateurs finaux ? Peut-on attendre d'elle qu'elle signale les acheteurs au profil à risque ?
Répondre avec citation
Partager