Un faux plugin WordPress crée un administrateur caché : comment le détecter et s’en protéger
Récemment, chez Sucuri, j’ai enquêté sur un cas de malware signalé par l’un de mes clients. Son site WordPress avait été compromis, et l’attaquant avait installé un faux plugin. L’analyse a révélé qu’il s’agissait d’un plugin backdoor sophistiqué conçu pour créer un compte administrateur persistant et caché. Il est crucial de comprendre les risques des muplugins sur sécurité, car ces ajouts invisibles peuvent facilement passer inaperçus tout en compromettant l’intégrité du site. De nombreux administrateurs de sites WordPress ne sont pas conscients des dangers que représentent ces plugins non surveillés. Une vigilance constante et des audits réguliers sont essentiels pour protéger les ressources en ligne contre de telles menaces. De plus, il est recommandé de limiter l’utilisation de plugins issus de sources non fiables, car cela ouvre la porte à des vulnérabilités exploitables. En effet, il existe de nombreux exemples de plugin WordPress dangereux à éviter, dont certains sont même publiés sur des dépôts populaires. Les administrateurs doivent toujours effectuer des recherches approfondies et privilégier les extensions bien notées et régulièrement mises à jour pour garantir la sécurité de leur site.
Qu’avons-nous découvert ?
L’infection se trouvait dans le répertoire des plugins WordPress :
./wp-content/plugins/wp-compat/wp-compat.php
Le plugin prétendait résoudre des problèmes de compatibilité avec les nouvelles versions de WordPress et PHP. En réalité, il créait silencieusement un utilisateur admin et le dissimulait activement du tableau de bord WordPress. Ce faux plugin WordPress à éviter a non seulement contourné les mesures de sécurité, mais il a également exposé les sites à d’autres vulnérabilités. Les utilisateurs innocents, pensant améliorer leur expérience WordPress, se sont retrouvés avec un accès non autorisé qui aurait pu avoir des conséquences désastreuses. Il est donc crucial de toujours vérifier la réputation des plugins avant de les installer. De nombreuses installations WordPress ont ainsi été compromises, sans que les propriétaires ne s’en aperçoivent. Pour contrer ce type de menace, il est essentiel d’explorer les meilleures solutions de sécurité WordPress qui garantissent non seulement la protection des données, mais aussi la transparence des actions effectuées sur le site. En utilisant des outils de sécurité fiables, les utilisateurs peuvent se prémunir contre de telles infiltrations et maintenir l’intégrité de leur site. En outre, cette manipulation permettait aux attaquants de prendre le contrôle complet du site sans que le propriétaire ne s’en rende compte. Pour prévenir de telles intrusions, il est essentiel de surveiller attentivement les plugins installés et de toujours vider le cache sur WordPress après chaque modification. Ne pas le faire pourrait masquer des changements critiques ou des alertes de sécurité importantes. La sécurité des plugins WordPress doit être une priorité pour tous les utilisateurs, car un seul plugin malveillant peut compromettre l’ensemble d’un site. En outre, il est recommandé d’effectuer des mises à jour régulières et de supprimer les plugins inutilisés pour minimiser les risques de vulnérabilités. En respectant ces bonnes pratiques, les propriétaires de sites peuvent renforcer la sécurité des plugins WordPress et protéger leurs précieuses données. Il est également recommandé d’effectuer des mises à jour régulières de WordPress et de ses plugins, car ces mises à jour contiennent souvent des correctifs de sécurité essentiels. De plus, pour prévenir les menaces WordPress, l’implémentation de stratégies de sauvegarde régulières est indispensable afin de restaurer rapidement le site en cas d’incident. Enfin, l’éducation des utilisateurs sur les risques liés à la cybersécurité et les meilleures pratiques est une étape cruciale pour renforcer la sécurité globale de leur site.
Vecteur d’attaque et indicateurs de compromission
L’attaquant a téléchargé manuellement ou par programme le faux plugin dans le dossier des plugins. Grâce à un nom et des métadonnées légitimes (WP Compatibility Patch), il pouvait facilement échapper à une revue superficielle des plugins.
Quelques indicateurs clés de compromission (IoCs) :
- Un dossier de plugin factice nommé : wp-compat
- Un utilisateur administrateur suspect : adminbackup
- Adresse email : adminbackup@wordpress.org
- Option stockée dans la base de données : _pre_user_id
Analyse du malware
Création de l’utilisateur admin
À chaque chargement de page, le code vérifie si un utilisateur nommé « adminbackup » existe. S’il n’existe pas, le code le crée. Si l’utilisateur existe déjà mais avec un email différent, le plugin réinitialise le mot de passe et met à jour l’adresse email.
Masquage de l’utilisateur dans les vues admin
Pour éviter la détection, le malware utilise plusieurs hooks WordPress pour cacher l’utilisateur malveillant. Il filtre l’admin malveillant des listes d’utilisateurs dans le tableau de bord. Ensuite, il modifie les comptes de rôles d’utilisateur (par exemple, le nombre d’admins) pour rendre l’utilisateur caché moins évident. De plus, le malware peut altérer les fichiers de configuration pour masquer ses activités, rendant ainsi difficile la tâche des administrateurs pour découvrir les portes dérobées dans WordPress. Enfin, il peut surveiller les accès au tableau de bord et supprimer les logs susceptibles de révéler sa présence, rendant toute investigation plus complexe.
Blocage des modifications et suppressions
Pour maintenir la persistance, le malware empêche la suppression ou la modification du compte malveillant et bloque toute tentative de suppression de l’utilisateur depuis le panneau d’administration.
Vérification du kill switch via cookie
Pour éviter d’être repéré dans la liste des plugins, il se cache de sorte que, même si le plugin est actif, il n’apparaît pas sous le menu « Plugins » dans wp-admin. Enfin, le malware inclut une vérification conditionnelle qui termine l’exécution de la page si un cookie spécifique est défini. Cela sert probablement de kill switch ou de mécanisme de confirmation pour l’attaquant.
Impact du malware
Ce malware permet aux attaquants de créer un utilisateur administrateur backdoor avec un contrôle total sur le site et de cacher cet utilisateur des autres administrateurs dans le tableau de bord. Il persiste malgré les suppressions d’utilisateurs ou les réinitialisations de mots de passe et évite également la visibilité dans la liste des plugins. Si non détecté, l’attaquant peut revenir à tout moment pour réinfecter le site, installer d’autres charges utiles ou exfiltrer des données.
Étapes de remédiation
- Supprimez tous les plugins inutilisés de votre répertoire de plugins.
- Passez en revue et supprimez tout utilisateur administrateur que vous ne reconnaissez pas.
- Changez tous les mots de passe.
- Utilisez un pare-feu de site web comme Sucuri pour bloquer les futures attaques et les failles zero-day.
- Mettez à jour WordPress et tous les plugins.
Conclusion
Ce faux plugin est un puissant rappel de la manière dont les auteurs de malwares peuvent utiliser des tactiques subtiles pour se cacher à la vue de tous. L’attaquant a pris soin de s’intégrer dans l’écosystème WordPress et a utilisé des métadonnées légitimes pour éviter les soupçons.
Si votre site WordPress se comporte de manière étrange ou si vous remarquez des utilisateurs inconnus, il est préférable d’enquêter en profondeur. N’hésitez pas à me contacter.
- En tant qu’expert en réparation d’urgence WordPress, je propose une analyse complète, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité.
- Notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec option d’hébergement Premium en France.
- Pour optimiser votre visibilité en ligne, nous offrons des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés.
Je suis là pour vous aider !
