Malware formjacking WooCommerce

Rapport de Sécurité WordPress 2024 : Protégez Votre Site en 2025

En tant qu’expert en sécurité WordPress, je me dois de vous alerter sur une menace particulièrement sophistiquée qui cible actuellement les boutiques en ligne WooCommerce. Récemment, l’équipe de Wordfence a mis en lumière un malware de type formjacking, capable d’injecter un faux formulaire de paiement dans le processus de commande de votre site. Ce type d’attaque vise à subtiliser les données sensibles de vos clients, telles que les numéros de carte bancaire, les adresses et autres informations personnelles, pour les envoyer discrètement à un serveur distant contrôlé par les cybercriminels. Il est donc essentiel de rester vigilant et de mettre en place des mesures de sécurité robustes pour protéger votre site. Dans cette optique, une analyse des menaces WordPress régulière peut révéler des vulnérabilités et des comportements suspects, vous permettant ainsi d’agir rapidement avant que des dommages ne surviennent. N’attendez pas qu’il soit trop tard ; assurez-vous que votre boutique en ligne est sécurisée et protégée contre de telles attaques.

Contrairement aux skimmers classiques qui se contentent de superposer un formulaire frauduleux, ce malware s’intègre parfaitement au design et au flux de paiement WooCommerce. Il devient ainsi quasiment indétectable, aussi bien pour les propriétaires de sites que pour les clients. Cette capacité à se fondre dans l’environnement du site rend la menace d’autant plus sérieuse. De plus, les conséquences d’une telle intrusion peuvent être dévastatrices, tant pour la confiance des clients que pour la réputation des entreprises en ligne. Il est donc crucial de rester vigilant et de surveiller toute activité suspecte sur les sites e-commerce. Une alerte sur le malware popunder devrait également être mise en place pour informer rapidement les utilisateurs et minimiser les risques de compromission.

Comment fonctionne ce malware ?

Le script malveillant, transmis à Wordfence par un utilisateur vigilant le 24 avril 2025, a rapidement fait l’objet d’une analyse approfondie. Une signature de détection a été développée dès le lendemain, puis diffusée aux utilisateurs Premium de Wordfence le 6 mai 2025. Les utilisateurs de la version gratuite bénéficieront de cette protection à partir du 5 juin 2025, après le délai standard de 30 jours.

Techniquement, ce malware se présente sous la forme d’un fichier JavaScript à l’apparence parfaitement légitime : code bien formaté, indentation soignée, noms de variables anodins… Rien ne laisse présager sa dangerosité à première vue. Le script vérifie d’abord s’il s’exécute sur une page de paiement et s’il a déjà collecté des données lors de la session en cours, afin d’éviter de se déclencher plusieurs fois et d’éveiller les soupçons. Ce type de malware sur WordPress et ses impacts peuvent être particulièrement dévastateurs, car il permet aux cybercriminels de siphonner les informations sensibles des utilisateurs à leur insu. De plus, en infiltrant des sites web populaires, ce malware peut se propager rapidement, touchant ainsi un grand nombre de victimes en un minimum de temps. Par conséquent, la sécurité des plateformes en ligne doit être une priorité pour prévenir de telles intrusions.

La véritable prouesse de ce malware réside dans sa capacité à injecter un formulaire de paiement factice, mais d’un réalisme bluffant. Ce faux formulaire reprend tous les champs habituels (numéro de carte, date d’expiration, code de sécurité) et va jusqu’à intégrer une icône SVG de carte bancaire pour renforcer l’illusion.

Exfiltration des données : une méthode furtive

Là où ce script se démarque, c’est dans sa façon de collecter et d’exfiltrer les données. Plutôt que de se contenter de récupérer les informations lors de la soumission du formulaire, il utilise le stockage local du navigateur (localStorage) pour enregistrer discrètement toutes les données saisies. Ainsi, même si l’utilisateur quitte la page ou ferme son navigateur, les informations restent accessibles au malware lors d’une prochaine visite.

Cette technique offre plusieurs avantages aux attaquants :

• Persistance des données : Les informations volées restent stockées même après fermeture du navigateur.
• Résilience : En cas de coupure réseau, les données ne sont pas perdues et seront envoyées dès que la connexion sera rétablie.
• Discrétion : Le malware contrôle le moment de l’envoi des données, rendant leur détection beaucoup plus difficile.

L’exfiltration s’effectue via la méthode navigator.sendBeacon(), qui permet d’envoyer des données de façon asynchrone, sans ralentir le processus de commande ni déclencher d’alertes visibles. Cette méthode, souvent utilisée à des fins d’analytique, est ici détournée pour transmettre les informations sensibles à un serveur distant, sans laisser de traces dans les journaux du site.

Vecteur d’intrusion et propagation

L’enquête a révélé que l’infection provenait d’un compte administrateur WordPress compromis, utilisé pour injecter le script malveillant via un plugin autorisant l’ajout de code personnalisé (comme Simple Custom CSS and JS). Il est important de noter que ce plugin n’est pas vulnérable en soi, mais a été détourné après la compromission du compte admin. L’analyse a également montré que cette méthode d’injection est devenue de plus en plus courante, notamment en raison de la prolifération de malware sur les plugins WordPress. Les utilisateurs doivent donc être particulièrement vigilants en matière de sécurité et veiller à maintenir leurs comptes administrateurs protégés par des mots de passe robustes. De plus, il est recommandé d’effectuer des audits réguliers des plugins installés pour identifier toute activité suspecte.

Le code malveillant est souvent injecté dans les pages mises en cache, ce qui complique encore la détection. Si vous utilisez un plugin de cache, il est recommandé de scanner le répertoire de cache à la recherche de scripts suspects.

Indicateurs de compromission

Pour détecter une éventuelle infection, soyez attentif aux éléments suivants :

• Utilisation de l’API navigator.sendBeacon() vers des domaines externes lors du paiement
• Présence de scripts JavaScript inattendus sur la page de paiement
• Activité inhabituelle du localStorage stockant des informations de paiement
• Multiples appels à setInterval surveillant les champs du formulaire de facturation

Conseils de prévention pour les e-commerçants

Pour protéger votre boutique WooCommerce contre ce type de menace, voici quelques recommandations concrètes :

• Installez des extensions de navigateur comme uBlock Origin pour surveiller et bloquer les activités réseau suspectes.
• Utilisez les outils de développement de votre navigateur pour inspecter les requêtes réseau lors du paiement.
• Privilégiez les solutions de paiement sécurisées (PayPal, cartes virtuelles, etc.) qui masquent les données sensibles.
• Surveillez régulièrement vos relevés bancaires et ceux de vos clients pour détecter toute activité suspecte.
• Nettoyez régulièrement le cache de votre site et effectuez des scans de sécurité approfondis.

En tant qu’experts en réparation d’urgence WordPress, nous proposons une analyse complète, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité. Notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec option d’hébergement Premium en France. Pour optimiser votre visibilité en ligne, nous offrons des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés.

Conclusion

Ce type de malware démontre à quel point les cybercriminels redoublent d’ingéniosité pour contourner les protections classiques. Il est donc essentiel de rester vigilant et de mettre en place une stratégie de sécurité globale, adaptée à la réalité du e-commerce en France et en Europe. Les entreprises doivent impérativement évaluer les risques associés à leur système de paiement et sensibiliser leurs équipes aux nouvelles menaces. Pour cela, il est crucial de comprendre le piratage par redirection, qui permet aux attaquants de détourner le trafic des utilisateurs vers des sites frauduleux. En intégrant cette connaissance dans leur approche de la cybersécurité, les commerçants en ligne seront mieux préparés à anticiper et à contrer ces attaques.

Si vous suspectez une infection ou souhaitez renforcer la sécurité de votre boutique WooCommerce, n’hésitez pas à faire appel à nos services. Nous sommes à votre disposition pour toute intervention d’urgence, maintenance ou optimisation SEO.

Benjamin Bueno, Expert en Sécurité WordPress chez SécuritéWP