Il y a quelques semaines, j’ai reçu une demande d’assistance d’un propriétaire de site web confronté à des redirections inattendues. Les visiteurs arrivaient normalement sur le site, mais après environ 4 à 5 secondes, ils étaient redirigés vers des sites non liés et suspects. Lors de l’enquête, j’ai découvert un plugin malveillant responsable de ce comportement, poursuivant la tendance des attaquants à utiliser de faux plugins WordPress.
Jusqu’à présent, j’ai constaté qu’au moins 26 sites web étaient infectés par le même plugin malveillant, qui semble se propager via des installations piratées ou compromises.
Qu’avons-nous découvert ?
L’attaquant a nommé le plugin wordpress-player.php et a indiqué « WordPress Core » comme auteur pour imiter délibérément des composants légitimes de WordPress et échapper à une détection immédiate par les administrateurs du site. Cette dénomination a probablement été utilisée pour éviter les soupçons. Le plugin a été directement déposé dans le répertoire wp-content/plugins/. Cette méthode s’inscrit dans une tendance plus large d’utilisation des muplugins malveillants, qui permettent aux attaquants de dissimuler leur code au sein de l’écosystème WordPress. En exploitant des fichiers invisibles aux utilisateurs lors des recherches de plugins, les cybercriminels s’assurent une persistance sur le site compromis. Cette approche renforce leur capacité à exécuter des actions malveillantes sans être détectés par les outils de sécurité conventionnels.
Où l’infection a-t-elle été trouvée ?
Le plugin exploite le hook d’action wp_footer pour injecter ses composants JavaScript et HTML directement dans le pied de page de chaque page chargée sur le site. Le malware évite l’exécution pour les utilisateurs connectés (administrateurs/éditeurs du site).
Comment fonctionne le malware ?
Lecteur vidéo caché avec contenu pour adultes
Le plugin injecte un élément vidéo HTML5 caché dans la page. Les attributs de style rendent le lecteur vidéo complètement invisible et hors écran pour l’utilisateur. Les attributs autoplay et muted forcent la lecture silencieuse de la vidéo en arrière-plan. L’URL source de la vidéo, hxxps://videocdnnetworkalls[.]monster/, provient d’un domaine suspect. Bien que le contenu explicite de la vidéo soit sans rapport avec la compromission technique, sa présence suggère une tentative de générer des impressions vidéo frauduleuses ou d’assurer une session média active pour des opérations malveillantes ultérieures.
Connexion à un serveur WebSocket contrôlé par l’attaquant
La fonctionnalité principale du malware réside dans son composant JavaScript, qui établit une connexion WebSocket persistante à un serveur de commande et de contrôle (C2) distant. Ce WebSocket agit comme un canal de commande et de contrôle, permettant à l’attaquant de suivre les utilisateurs actifs, de pousser des instructions en direct aux navigateurs, et d’émettre des commandes de redirection ou de lecture.
Infrastructure malveillante utilisée
| Type | URL |
|---|---|
| Vidéo pour adultes | hxxps://videocdnnetworkalls[.]monster/ |
| WebSocket C2 | wss://steamycomfort[.]fun/ws/player |
Impact sur l’intégrité du site et les utilisateurs
Ce malware « WordPress Player » présente des risques significatifs pour les propriétaires de sites web et leurs visiteurs : En exploitant les vulnérabilités des plugins WooCommerce, ce malware peut compromettre des informations sensibles, telles que les données de paiement et les informations personnelles des utilisateurs. De plus, il peut affecter les performances du site, entraînant une mauvaise expérience utilisateur et une perte de confiance. Les propriétaires de sites doivent donc rester vigilants et mettre à jour régulièrement leurs plugins pour se défendre contre ces menaces. En outre, certains propriétaires de sites peuvent être tentés d’installer un faux plugin anti malware WordPress dans l’espoir de se protéger. Cependant, ces faux plugins peuvent en réalité introduire encore plus de vulnérabilités sur le site, aggravant ainsi les problèmes de sécurité existants. Il est crucial de se renseigner sur la réputation des plugins avant de les installer pour éviter des conséquences désastreuses.
- Redirection de trafic non autorisée : L’impact principal est la redirection forcée des visiteurs du site vers des destinations externes, potentiellement malveillantes ou indésirables, ce qui sape directement la confiance des utilisateurs et la crédibilité du site.
- Dégradation du SEO : Les redirections non autorisées fréquentes peuvent affecter négativement le classement d’un site dans les moteurs de recherche et peuvent entraîner un blacklistage par ces derniers.
- Dommage à la réputation : Les utilisateurs confrontés à des redirections peuvent percevoir le site comme compromis ou non sécurisé, entraînant une diminution de l’engagement et une perte de confiance des utilisateurs.
- Risque de sécurité pour les visiteurs : Les attaquants peuvent exposer les utilisateurs redirigés à des escroqueries par hameçonnage, des publicités malveillantes, des kits d’exploitation ou des téléchargements à leur insu, les exposant à un risque de compromission supplémentaire.
Recommandations pour la mitigation et la prévention
Une action immédiate et complète est impérative dès la découverte de ce type de malware.
- Analyse complète du site web : Effectuez une analyse de sécurité approfondie à l’aide d’un outil réputé pour identifier tous les fichiers malveillants, les injections de base de données et les portes dérobées sur l’ensemble de l’installation WordPress.
- Suppression des malwares : Localisez et supprimez rapidement et en toute sécurité le fichier
wordpress-player.phpdu répertoirewp-content/plugins/, puis éliminez tous les autres vestiges du malware du système de fichiers et de la base de données. Faites appel à des services professionnels de suppression de malwares pour les infections complexes. En tant qu’experts en réparation d’urgence WordPress, nous proposons une analyse complète, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité. - Réinitialisation des identifiants : Réinitialisez immédiatement tous les mots de passe administratifs pour WordPress, les comptes d’hébergement et les identifiants de base de données.
- Authentification à deux facteurs : La mise en place d’une seconde couche de protection, telle que l’authentification à deux facteurs (2FA) ou des restrictions IP sur la page de connexion WordPress, peut empêcher les attaquants de se connecter même s’ils ont obtenu des mots de passe valides.
- Mises à jour logicielles : Mettez à jour le noyau WordPress, tous les thèmes et tous les autres plugins à leurs dernières versions pour corriger les vulnérabilités connues. Notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec option d’hébergement Premium en France.
- Déploiement d’un pare-feu d’application web (WAF) : Mettez en œuvre une solution robuste de pare-feu d’application web (WAF). Un WAF peut filtrer efficacement le trafic malveillant et bloquer les schémas d’attaque connus. Il fournit également une couche de protection essentielle contre la réinfection et d’autres menaces basées sur le web.
En conclusion, la sécurité de votre site WordPress est primordiale pour protéger votre réputation et celle de vos utilisateurs. Pour garantir une protection optimale et une visibilité accrue, n’hésitez pas à faire appel à nos services. En plus de nos solutions de sécurité, nous offrons des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés pour optimiser votre visibilité en ligne. Contactez-nous dès aujourd’hui pour sécuriser et améliorer votre site web. De plus, il est essentiel de se tenir informé des meilleurs plugins pour sécuriser WordPress, car ils offrent des fonctionnalités variées pour renforcer la protection de votre site. L’intégration de ces outils peut significativement réduire les risques de cyberattaques et améliorer la sauvegarde de vos données. En adoptant une approche proactive, vous assurez la pérennité et la sécurité de votre plateforme en ligne. De plus, il est conseillé d’intégrer des techniques de détection de portes dérobées pour identifier toute activité suspecte sur votre site. Ces méthodes avancées permettent de détecter rapidement des vulnérabilités potentielles et de prévenir les intrusions malveillantes. Ainsi, en renforçant la sécurité avec ces techniques, vous contribuerez à protéger non seulement votre site, mais aussi la confiance de vos utilisateurs.
