WowShipping Pro v1.0.6 contenait un dropper dissimulé installant silencieusement un Remote Access Toolkit complet sur les sites WooCommerce. Analyse technique, indicateurs d'infection et guide de remédiation.
Le 17 avril 2026, Patchstack a publié une analyse technique alarmante concernant WowShipping Pro, un plugin WooCommerce populaire développé par WPXPO. La version 1.0.6 de ce plugin de gestion des frais de livraison avancés contenait un dropper malveillant, introduit dans le code source le 13 mars 2026 — soit 5 jours après la compilation normale du paquet. Ce dropper installait silencieusement un Remote Access Toolkit (RAT) complet sur chaque site WordPress où il tournait.
Selon Patchstack, 97 % des vulnérabilités WordPress proviennent des plugins et thèmes (rapport 2025). Les attaques de type supply chain — où c’est le plugin lui-même qui est empoisonné avant distribution — représentent l’une des menaces les plus difficiles à détecter, car elles contournent totalement les processus de mise à jour habituels.
Cette affaire s’inscrit dans une série de compromissions supply chain qui frappent l’écosystème WordPress en 2026. Nous avions déjà couvert la compromission EssentialPlugin affectant plus de 20 plugins et 200 000 sites quelques jours plus tôt. Pour comprendre le phénomène dans son ensemble, consultez notre dossier sur les attaques supply chain WordPress.
Le code malveillant a été injecté dans le fichier includes/class-plugin-actions.php. Il ajoute 73 lignes de code à une méthode baptisée install_woocommerce_notifications(), enregistrée sur le hook WordPress admin_init.
Concrètement, à chaque chargement d’une page d’administration par un administrateur authentifié, ce code :
woocommerce-notifications est déjà présent.http://188.137.251.115:3029/files/woocommerce-notifications.zip via cURL brut (sans passer par l’API filesystem de WordPress).wp-content/plugins/.activate_plugin().Plusieurs signaux forensiques trahissent le caractère artificiel de l’injection :
Le payload installé se déguise en un plugin « WooCommerce Notifications ». Il s’agit en réalité d’un Remote Access Toolkit complet, permettant à l’attaquant d’exécuter du code arbitraire, d’exfiltrer des données, ou de maintenir un accès persistant au serveur.
Point critique : mettre à jour WowShipping Pro vers une version saine supprime le dropper mais ne supprime PAS le RAT déjà installé. Le plugin malveillant reste actif après la mise à jour. Tant que le dropper était présent, toute suppression manuelle du RAT était automatiquement annulée au prochain chargement d’une page admin.
class-plugin-actions.php est modifié et le dropper y est injecté.Rendez-vous dans Extensions > Extensions installées de votre admin WordPress. Si vous voyez WowShipping Pro en version 1.0.6 ou antérieure, votre site a très probablement été compromis.
Recherchez dans votre dossier wp-content/plugins/ un répertoire nommé woocommerce-notifications ou un plugin dont le nom ressemble à « WooCommerce Notifications » mais qui n’est pas distribué via wordpress.org. Ce plugin illégitime doit être supprimé manuellement.
includes/class-plugin-actions.php modifié le 13 mars 2026 dans WowShipping Pro v1.0.6.188.137.251.115:3029 dans vos logs serveur.wp_options).woocommerce-notifications présent dans les extensions mais absent de WordPress.org.Si vous êtes ou avez été sur WowShipping Pro v1.0.6, voici les étapes à suivre sans délai :
woocommerce-notifications depuis votre gestionnaire de fichiers ou en FTP/SSH.wp_users pour détecter tout compte administrateur inconnu créé par le RAT.Pour une procédure de nettoyage complète, consultez notre guide détaillé : comment récupérer un site WordPress hacké. Si vous gérez une boutique en ligne, notre guide de sécurité WooCommerce complet vous aidera également à renforcer votre configuration.
Contrairement aux plugins gratuits hébergés sur WordPress.org (qui sont soumis à des contrôles automatisés), les plugins premium vendus en dehors du dépôt officiel ne bénéficient d’aucun mécanisme de vérification systématique. Cela en fait des cibles privilégiées pour les attaquants cherchant à compromettre la chaîne d’approvisionnement.
Selon Patchstack, les attaques supply chain contre l’écosystème WordPress se sont multipliées de façon significative entre 2025 et 2026. L’affaire WowShipping Pro illustre parfaitement trois problèmes structurels :
La version gratuite hébergée sur WordPress.org n’est pas concernée. Le trojan a uniquement affecté la version Pro, distribuée via le site WPXPO. Cependant, WPXPO a indiqué dans son email du 24 mars que « tous les plugins Pro » devaient être mis à jour, suggérant une portée potentiellement plus large de l’incident.
Non. La mise à jour vers v1.0.8 supprime le dropper, mais le RAT installé au stage 2 persiste dans votre dossier plugins. Vous devez le supprimer manuellement et effectuer un scan complet du site.
Utilisez un service de surveillance des intégrités de fichiers (comme Wordfence ou Patchstack), n’installez des plugins premium que depuis des sources officielles vérifiées, et abonnez-vous aux alertes de sécurité WordPress pour être notifié dès qu’une compromission est identifiée.
Oui, Patchstack a publié une règle de mitigation virtuelle pour ce vecteur. Toutefois, l’entreprise précise que cette règle ne garantit pas une protection complète si le site est déjà infecté — la remédiation manuelle reste indispensable.
L’affaire WowShipping Pro rappelle brutalement que même les plugins payants, achetés directement chez l’éditeur, peuvent être compromis. La sécurité WordPress ne se limite pas à mettre à jour régulièrement : elle exige une surveillance active de l’intégrité des fichiers, une veille sur les alertes de sécurité, et une réactivité immédiate face à toute notification d’incident.
Si vous utilisez des plugins premium WooCommerce, prenez le temps de vérifier vos installations et d’adopter une posture proactive. Le coût d’une compromission non détectée — fuite de données clients, perte de confiance, pénalités SEO — dépasse de très loin celui d’un audit préventif.
Besoin d’aide pour sécuriser ou nettoyer votre site WooCommerce ? Contactez notre équipe d’experts SecuriteWP.
WowShipping Pro v1.0.6 contenait un dropper dissimulé installant silencieusement un Remote Access Toolkit complet sur les sites WooCommerce. Analyse technique, indicateurs d’infection et guide de remédiation.
En avril 2026, plus de 20 plugins du vendeur EssentialPlugin ont été compromis via une attaque supply chain. Un acquéreur malveillant avait planté une backdoor dormante 7 mois avant son activation. 200 000+ sites WordPress exposés.
Découvrez comment configurer Cloudflare pour protéger votre site WordPress : WAF, protection DDoS, règles de sécurité et intégration optimale avec vos plugins.
Découvrez comment implémenter une Content Security Policy (CSP) sur WordPress pour bloquer les attaques XSS. Guide complet 2026 avec directives, exemples de code et dépannage.
Les attaques supply chain WordPress ciblent la chaîne de distribution des plugins et thèmes. Découvrez comment elles fonctionnent, les IOC à surveiller et les mesures concrètes pour protéger votre site.
Votre base de données MySQL est le cœur de WordPress : elle contient tout. Découvrez comment la sécuriser avec 8 techniques concrètes pour 2026.
Nos experts français assurent un support et une prestation de qualité.
