Il y a quelques semaines, j’ai reçu une demande d’assistance d’un propriétaire de site web confronté à des redirections inattendues. Les visiteurs arrivaient normalement sur le site, mais après environ 4 à 5 secondes, ils étaient redirigés vers des sites suspects et sans rapport. En enquêtant, j’ai découvert un plugin malveillant responsable de ce comportement, illustrant une tendance croissante des attaquants à utiliser de faux plugins WordPress.
Jusqu’à présent, j’ai identifié au moins 26 sites infectés par ce même plugin malveillant, qui semble se propager via des installations piratées ou compromises.
Qu’avons-nous découvert ?
L’attaquant a nommé le plugin wordpress-player.php et a indiqué « WordPress Core » comme auteur pour imiter délibérément des composants légitimes de WordPress et échapper à une détection immédiate par les administrateurs du site. Cette stratégie vise à éviter les soupçons. Le plugin a été directement placé dans le répertoire wp-content/plugins/. Il est essentiel de rester vigilant face à de telles menaces. Pour cela, il est recommandé de sécuriser votre site WordPress efficacement en utilisant des outils de sécurité robustes et en mettant à jour régulièrement vos plugins et thèmes. Une bonne pratique consiste également à surveiller les fichiers de votre installation pour détecter toute anomalie pouvant indiquer une compromission.
Où l’infection a-t-elle été trouvée ?
Le plugin utilise le hook d’action wp_footer pour injecter ses composants JavaScript et HTML directement dans le pied de page de chaque page chargée sur le site. Le malware évite l’exécution pour les utilisateurs connectés (administrateurs/éditeurs du site), ce qui complique sa détection lors des vérifications classiques.
Comment fonctionne le malware ?
Lecteur vidéo caché avec contenu adulte
Le plugin injecte un élément vidéo HTML5 caché dans la page. Les attributs de style rendent le lecteur vidéo complètement invisible et hors écran pour l’utilisateur. Les attributs autoplay et muted forcent la lecture silencieuse de la vidéo en arrière-plan. L’URL source de la vidéo, hxxps://videocdnnetworkalls[.]monster/, provient d’un domaine suspect. Bien que le contenu explicite de la vidéo soit techniquement sans rapport, sa présence suggère une tentative de générer des impressions vidéo frauduleuses ou d’assurer une session média active pour des opérations malveillantes ultérieures.
Connexion à un serveur WebSocket contrôlé par l’attaquant
La fonctionnalité principale du malware réside dans son composant JavaScript, qui établit une connexion WebSocket persistante à un serveur de commande et de contrôle (C2) distant. Ce WebSocket agit comme un canal C2, permettant à l’attaquant de :
- Suivre les utilisateurs actifs
- Envoyer des instructions en direct aux navigateurs
- Émettre des commandes de redirection ou de lecture
Le système attribue à chaque visiteur un identifiant pseudo-aléatoire utilisé dans toutes les communications avec le serveur de l’attaquant. Cela aide à suivre qui est en ligne et à gérer les sessions. Une fois connecté, le malware écoute les messages du serveur WebSocket et réagit en conséquence. Cela signifie que l’attaquant peut envoyer une nouvelle URL et rediriger les visiteurs vers un autre site, ou encore mettre en pause ou reprendre la vidéo cachée.
Infrastructure malveillante utilisée
- Vidéo pour adultes :
hxxps://videocdnnetworkalls[.]monster/ - WebSocket C2 :
wss://steamycomfort[.]fun/ws/player
Impact sur l’intégrité du site et les utilisateurs
Ce malware « WordPress Player » présente des risques significatifs pour les propriétaires de sites et leurs visiteurs :
- Redirection de trafic non autorisée : L’impact principal est la redirection forcée des visiteurs vers des destinations externes potentiellement malveillantes ou indésirables, ce qui sape directement la confiance des utilisateurs et la crédibilité du site.
- Dégradation du SEO : Les redirections non autorisées fréquentes peuvent affecter négativement le classement d’un site sur les moteurs de recherche et entraîner un blacklistage.
- Dommage à la réputation : Les utilisateurs confrontés à des redirections peuvent percevoir le site comme compromis ou dangereux, entraînant une diminution de l’engagement et une perte de confiance.
- Risque de sécurité pour les visiteurs : Les attaquants peuvent exposer les utilisateurs redirigés à des escroqueries par hameçonnage, des publicités malveillantes, des kits d’exploitation ou des téléchargements à la volée, les mettant en danger de compromission supplémentaire.
Recommandations de mitigation et de prévention
Une action immédiate et complète est impérative dès la découverte de ce type de malware.
- Analyse complète du site : Effectuez une analyse de sécurité approfondie à l’aide d’un outil réputé pour identifier tous les fichiers malveillants, les injections de base de données et les portes dérobées sur l’ensemble de l’installation WordPress. En tant qu’experts en réparation d’urgence WordPress, nous proposons une analyse complète, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité.
- Suppression du malware : Localisez et supprimez en toute sécurité le fichier
wordpress-player.phpdu répertoirewp-content/plugins/, puis éliminez tous les autres restes du malware du système de fichiers et de la base de données. Faites appel à des services professionnels de suppression de malware pour les infections complexes. - Réinitialisation des identifiants : Réinitialisez immédiatement tous les mots de passe administratifs pour WordPress, les comptes d’hébergement et les identifiants de base de données.
- Authentification à deux facteurs : Mettez en place une protection supplémentaire, telle que l’authentification à deux facteurs (2FA) ou des restrictions IP sur la page de connexion WordPress, pour empêcher les attaquants de se connecter même s’ils ont obtenu des mots de passe valides.
- Mises à jour logicielles : Mettez à jour le noyau WordPress, tous les thèmes et tous les autres plugins à leurs dernières versions pour corriger les vulnérabilités connues.
- Déploiement d’un pare-feu d’application web (WAF) : Implémentez une solution robuste de pare-feu d’application web (WAF). Un WAF peut filtrer efficacement le trafic malveillant et bloquer les modèles d’attaque connus. Il fournit également une couche essentielle de protection contre la réinfection et d’autres menaces basées sur le web.
Notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec option d’hébergement Premium en France. Pour optimiser votre visibilité en ligne, nous offrons des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés.
En tant qu’expert en sécurité WordPress, je recommande vivement de prendre ces mesures pour protéger votre site. Si vous êtes confronté à des problèmes similaires ou si vous souhaitez éviter de telles situations, nos services de réparation d’urgence WordPress, de maintenance et d’optimisation SEO sont à votre disposition. N’hésitez pas à nous contacter pour sécuriser et optimiser votre site. Il est essentiel de mettre en œuvre des solutions avancées telles que la détection de portes dérobées furtives pour garantir l’intégrité de votre site. De plus, un audit régulier de la sécurité peut aider à identifier toute vulnérabilité avant qu’elle ne soit exploitée par des tiers malveillants. En investissant dans des mesures préventives, vous renforcez non seulement la sécurité de votre site, mais vous préservez également la confiance de vos utilisateurs. Il est essentiel de rester informé des meilleures pratiques de sécurité WordPress pour prévenir les vulnérabilités. En intégrant des mises à jour régulières et en utilisant des plugins fiables, vous renforcez la sécurité de votre site. Adopter ces stratégies vous permettra de naviguer en toute tranquillité dans l’écosystème en ligne.
Benjamin Bueno, Expert en Sécurité WordPress chez SécuritéWP
