Une tendance courante que j’observe est que des acteurs malveillants téléchargent des plugins malveillants sur des sites WordPress. Ces plugins peuvent remplir diverses fonctions, allant de l’injection de spam à la redirection de sites vers d’autres contenus malveillants. Dans cet article, je vais examiner une méthode plus dangereuse où des plugins peuvent être utilisés pour voler des identifiants d’administrateur. Ces plugins malveillants exploitent souvent des vulnérabilités dans le système de gestion de contenu ou des thèmes tierces afin d’accéder aux informations sensibles des utilisateurs. Le risque lié à un plugin WordPress devient alors préoccupant, car même un faible niveau de sécurité peut entraîner des conséquences désastreuses pour l’intégrité du site. Il est donc crucial pour les administrateurs de rester vigilants et de s’assurer que chaque plugin installé provienne de sources fiables et bien évaluées. Ces types de plugins peuvent dissimuler des codes malveillants qui collectent les identifiants de connexion des administrateurs à leur insu. Une analyse des redirections WordPress peut s’avérer cruciale pour identifier ces menaces, car elle permet de détecter les comportements anormaux dans le trafic du site. Par conséquent, il est essentiel de rester vigilant et de procéder régulièrement à des vérifications pour garantir la sécurité de son site. Il est également important de s’intéresser à la sécurité des muplugins WordPress, car ces extensions minimales peuvent souvent être négligées tout en contenant des vulnérabilités exploitables. En intégrant des pratiques de sécurisation rigoureuses pour tous les types de plugins, y compris les muplugins, les administrateurs pourront mieux se prémunir contre les attaques potentielles. Ainsi, une approche proactive en matière de maintenance et de mise à jour des plugins est indispensable pour préserver l’intégrité et la sécurité des sites WordPress. Les meilleures extensions de sécurité WP peuvent offrir une protection supplémentaire en détectant et en empêchant l’installation de ces plugins malveillants. De plus, la mise en place de mesures de sécurité proactives, telles que des analyses régulières et des mises à jour de toutes les extensions, est indispensable pour minimiser les risques. En investissant dans des solutions robustes, les administrateurs de sites WordPress peuvent renforcer la résilience de leur plateforme contre ces menaces. Il est également essentiel de mettre en place des contrôles d’accès appropriés et de limiter les autorisations des utilisateurs afin de prévenir les faux plugins WordPress. En encourageant une culture de sensibilisation à la sécurité parmi les équipes de gestion de site, on peut réduire les risques d’erreurs humaines conduisant à des installations non sécurisées. Enfin, rester informé des dernières menaces et vulnérabilités permet de réagir rapidement et efficacement, garantissant ainsi une meilleure protection contre ces risques. Il est également recommandé d’utiliser des outils spécialisés pour détecter un plugin malveillant WordPress, ce qui permet d’identifier rapidement les menaces avant qu’elles ne causent des dommages. En surveillant régulièrement les fichiers du site et en comparant les versions des plugins installés avec celles disponibles sur les dépôts officiels, les administrateurs peuvent réduire considérablement le risque d’intrusion. Enfin, le partage d’informations sur les dernières menaces et vulnérabilités avec la communauté WordPress peut contribuer à une sécurité collective renforcée. La vigilance des administrateurs est primordiale, surtout face aux faux plugins WordPress identifiés qui peuvent passer inaperçus. En s’appuyant sur des outils de sécurité avancés, il devient possible de détecter ces fake plugins avant qu’ils ne causent des dommages irréparables. Ainsi, une écoute active des retours de la communauté et une mise à jour régulière des connaissances en matière de sécurité aideront à renforcer la défense des sites WordPress.
Identification du malware
Lors d’une analyse de routine des malwares, j’ai remarqué un plugin intitulé wp-runtime-cache dans le répertoire wp-content/plugins. Cela semble assez innocent, n’est-ce pas ? Après tout, presque tous les sites ont au moins une couche de cache pour améliorer les performances. Lorsqu’un plugin de cache est installé, vous trouverez généralement un menu pour le gérer en haut du panneau d’administration ou une option sous Paramètres dans le menu de gauche.
Je n’ai vu aucune option pour vider le cache et le plugin n’apparaissait pas dans la liste des plugins installés dans l’admin WordPress. Il n’est pas rare que des attaquants cachent des plugins malveillants, ce qui justifie une enquête plus approfondie.
En examinant le répertoire wp-runtime-cache, j’ai pu voir un seul fichier : wp-runtime-cache.php. C’est également assez inhabituel, car tout plugin valide utilise généralement plusieurs fichiers PHP et JS pour ses fonctionnalités. J’ai déjà observé que de nombreux plugins malveillants ne contiennent qu’un seul fichier avec tout le code malicieux.
Analyse du plugin
Dès le départ, plusieurs signaux d’alerte apparaissent : la description du plugin, l’auteur et l’URL sont vides. Dans tout plugin légitime, le fournisseur s’identifie et fournit généralement un lien vers la source ou une page de support.
Je remarque aussi du contenu encodé en base64, typique des malwares, ainsi que des noms de variables aléatoires comme woocomHeic0971 ou pbes2PITR0339. Une variable comme infiltrateDocumentStore0460 n’a rien à faire dans un plugin sain.
Pour clarifier, il arrive que des éditeurs de plugins premium utilisent l’obfuscation base64, mais c’est généralement limité à la gestion de licences et clairement indiqué.
Fonctionnement du plugin
Ce malware, fonctionnant comme un plugin, s’exécute à chaque chargement du site, y compris sur l’interface d’administration. La première ligne de code ordonne au plugin d’exécuter la fonction octopusJson50286 à chaque connexion à l’admin :
add_action('wp_login', 'octopusJson50286', 10, 2);
Cette fonction récupère deux variables : le nom d’utilisateur et un objet contenant les rôles de l’utilisateur. En décodant les valeurs base64, on retrouve :
manage_options(administrateur)edit_pages(éditeur)
Le plugin vérifie si l’utilisateur connecté possède l’un de ces rôles. Si ce n’est pas le cas, il ne fait rien. Sinon, il passe à l’étape suivante : l’exfiltration des identifiants.
Le code rassemble alors le nom d’utilisateur, le mot de passe et les rôles, puis envoie ces données à une URL externe, elle aussi encodée en base64, qui correspond à :
https[:]//woocommerce-check[.]com/report-to
L’envoi se fait via la fonction WordPress wp_remote_post, qui permet d’envoyer des données à un serveur distant.
Mécanisme de dissimulation
Pour éviter d’être repéré, le plugin utilise une autre fonction pour se cacher de la liste des plugins dans l’admin. Il génère un hash à partir du nom d’utilisateur et de l’URL du site. Si ce hash correspond à une valeur prédéfinie (probablement pour l’attaquant), le plugin reste visible, sinon il se masque.
Analyse du domaine d’exfiltration
- Domaine :
woocommerce-check[.]com - Enregistré le : 27/10/2024
- Expire le : 27/10/2025
- Pays : US (mais numéro d’abus à Hong Kong)
Ce type de domaine, fraîchement enregistré, est typique des campagnes de piratage qui changent régulièrement de serveur pour éviter la détection.
Conclusion et recommandations
Comme on le voit, une fois qu’un attaquant a accès à un site, il peut facilement dissimuler ses activités. Ici, les identifiants d’administration WordPress ont été volés et transmis à un serveur externe, permettant à l’attaquant de revenir à tout moment.
Cette attaque montre l’importance d’auditer régulièrement les plugins et les utilisateurs de votre site, et de maintenir des mots de passe forts et à jour. Même si le plugin était caché, un audit de sécurité avec un scanner professionnel ou un plugin de sécurité WordPress aurait permis de détecter l’ajout de fichiers suspects.
Je recommande vivement d’activer l’authentification à deux facteurs (2FA) ou de restreindre l’accès à la page de connexion par IP, pour bloquer toute tentative même si un mot de passe est compromis.
Après une compromission, il est aussi essentiel de régénérer les « salts » dans le fichier wp-config.php (générables sur le site officiel WordPress), afin d’empêcher l’utilisation de mots de passe hachés volés.
En tant qu’expert en réparation d’urgence WordPress, je propose une analyse complète, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité. Notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec option d’hébergement Premium en France. Pour optimiser votre visibilité en ligne, nous offrons des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés.
N’hésitez pas à me contacter pour sécuriser votre site WordPress et protéger vos données !
