vous avez été piraté ? obtenir de l'aide
Aide Immédiate

Analyse d’un Plugin WordPress Malveillant : Redirections et C2

wordpress qui a été piraté

Il y a quelques semaines, j’ai reçu une demande d’assistance d’un propriétaire de site web confronté à des redirections inattendues. Les visiteurs arrivaient normalement sur le site, mais après environ 4 à 5 secondes, ils étaient redirigés vers des sites non liés et suspects. Lors de l’enquête, j’ai découvert un plugin malveillant responsable de ce comportement, poursuivant la tendance des attaquants à utiliser de faux plugins WordPress.

Jusqu’à présent, j’ai constaté qu’au moins 26 sites web ont été infectés par le même plugin malveillant, et il semble se propager via des installations piratées ou compromises.

Qu’avons-nous découvert ?

L’attaquant a nommé le plugin wordpress-player.php et a indiqué « WordPress Core » comme auteur pour imiter délibérément les composants légitimes de WordPress et éviter une détection immédiate par les administrateurs du site. Cette dénomination a probablement été utilisée pour ne pas éveiller les soupçons. Le plugin a été directement placé dans le répertoire wp-content/plugins/.

Où l’infection a-t-elle été trouvée ?

Le plugin exploite le hook d’action wp_footer pour injecter ses composants JavaScript et HTML directement dans le pied de page de chaque page chargée sur le site. Le malware évite l’exécution pour les utilisateurs connectés (administrateurs/éditeurs du site).

Comment fonctionne le malware ?

Lecteur vidéo caché avec contenu pour adultes

Le plugin injecte un élément vidéo HTML5 caché dans la page. Les attributs de style rendent le lecteur vidéo complètement invisible et hors écran pour l’utilisateur. Les attributs autoplay et muted forcent la lecture silencieuse de la vidéo en arrière-plan. L’URL source de la vidéo, hxxps://videocdnnetworkalls[.]monster/, provient d’un domaine suspect. Bien que le contenu explicite de la vidéo soit sans rapport avec la compromission technique, sa présence suggère une tentative de générer des impressions vidéo frauduleuses ou d’assurer une session média active pour des opérations malveillantes ultérieures.

Connexion à un serveur WebSocket contrôlé par l’attaquant

La fonctionnalité principale du malware réside dans son composant JavaScript, qui établit une connexion WebSocket persistante à un serveur de commande et de contrôle (C2) distant. Ce WebSocket agit comme un canal de commande et de contrôle (C2). Il permet à l’attaquant de :

  • Suivre les utilisateurs actifs
  • Envoyer des instructions en direct aux navigateurs
  • Émettre des commandes de redirection ou de lecture

Le système attribue à chaque visiteur un identifiant pseudo-aléatoire utilisé dans toutes les communications avec le serveur de l’attaquant. Cela aide à suivre qui est en ligne et à gérer les sessions. Une fois connecté, le malware écoute les messages du serveur WebSocket et réagit en conséquence. Cela signifie que l’attaquant peut envoyer une nouvelle URL et rediriger les visiteurs vers un autre site, ou encore mettre en pause ou reprendre la vidéo cachée.

Infrastructure malveillante utilisée

Type URL
Vidéo pour adultes hxxps://videocdnnetworkalls[.]monster/
WebSocket C2 wss://steamycomfort[.]fun/ws/player

Impact sur l’intégrité du site et les utilisateurs

Ce malware « WordPress Player » présente des risques significatifs pour les propriétaires de sites web et leurs visiteurs : Ce malware « WordPress Player » présente des risques significatifs pour les propriétaires de sites web et leurs visiteurs : Les données personnelles des utilisateurs peuvent être compromises en raison de ce plugin wordpress malveillant détecté. De plus, ce malware pourrait entraîner une baisse de la confiance des clients, mettant en péril la réputation des sites touchés. Il est donc crucial pour les administrateurs de rester vigilants et de procéder à une analyse approfondie de leurs installations.

  • Redirection de trafic non autorisée : L’impact principal est la redirection forcée des visiteurs du site vers des destinations externes, potentiellement malveillantes ou indésirables. Cela compromet directement la confiance des utilisateurs et la crédibilité du site web.
  • Dégradation du SEO : Les redirections non autorisées fréquentes peuvent affecter négativement le classement d’un site web dans les moteurs de recherche et peuvent entraîner un blacklistage par ces derniers.
  • Dommage à la réputation : Les utilisateurs confrontés à des redirections peuvent percevoir le site comme compromis ou non sécurisé, ce qui entraîne une diminution de l’engagement et une perte de confiance des utilisateurs.
  • Risque de sécurité pour les visiteurs : Les attaquants peuvent exposer les utilisateurs redirigés à des escroqueries par hameçonnage, des publicités malveillantes, des kits d’exploitation ou des téléchargements à leur insu, les exposant à un risque de compromission supplémentaire.

Recommandations pour la mitigation et la prévention

Une action immédiate et complète est impérative dès la découverte de ce type de malware.

  • Analyse complète du site web : Effectuez une analyse de sécurité approfondie à l’aide d’un outil réputé pour identifier tous les fichiers malveillants, les injections de base de données et les portes dérobées dans l’ensemble de l’installation WordPress.
  • Suppression des malwares : Localisez et supprimez rapidement et en toute sécurité le fichier wordpress-player.php du répertoire wp-content/plugins/, puis éliminez tous les autres vestiges du malware du système de fichiers et de la base de données. Faites appel à des services professionnels de suppression de malwares pour les infections complexes.
  • Réinitialisation des identifiants : Réinitialisez immédiatement tous les mots de passe administratifs pour WordPress, les comptes d’hébergement et les identifiants de base de données.
  • Authentification à deux facteurs : La mise en place d’une seconde couche de protection, telle que l’authentification à deux facteurs (2FA) ou des restrictions IP sur la page de connexion WordPress, peut empêcher les attaquants de se connecter même s’ils ont obtenu des mots de passe valides.
  • Mises à jour logicielles : Mettez à jour le noyau WordPress, tous les thèmes et tous les autres plugins vers leurs dernières versions pour corriger les vulnérabilités connues.
  • Déploiement d’un pare-feu d’application web (WAF) : Mettez en œuvre une solution robuste de pare-feu d’application web (WAF). Un WAF peut filtrer efficacement le trafic malveillant et bloquer les schémas d’attaque connus. Il fournit également une couche essentielle de protection contre la réinfection et d’autres menaces basées sur le web.

En tant qu’expert en cybersécurité WordPress, je propose des services de réparation d’urgence pour analyser, nettoyer les malwares, supprimer les backdoors et renforcer la sécurité de votre site. Notre service de maintenance inclut l’installation d’antivirus, des mises à jour régulières, des sauvegardes et une surveillance 24/7, avec une option d’hébergement Premium en France. Pour optimiser votre visibilité en ligne, nous offrons des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés.

N’hésitez pas à me contacter pour sécuriser votre site WordPress et protéger vos utilisateurs.

Partager l'article :

Nos experts français assurent un support et une prestation de qualité.

Faire appel à nous
Nos autres articles

je demande de l’AIDE

Recevoir un devis
Demander un devis pour réparer un site

SecuritéWP est un service accessible à tous qui vous accompagne dans la réparation de site et le nettoyage de votre site piraté. Notre équipe est composée d’experts français avec une forte expérience dans le web.
Vous n’avez besoin d’aucune connaissance technique : notre équipe se charge de tout ! Nous restons disponibles pour toute question durant le processus de nettoyage de votre site WordPress.

drapeau allemand - websoite bereinigungUnsere Seite auf Deutsch: Website Bereinigung

Notre service
Notre blog
Nos experts français assurent la réparation et le nettoyage de votre site piraté.
Prendre rendez vous
Rendez vous maintenace site
Linkedin Twitter Facebook-f Google Envelope
All Rights Reserved © 2025
Un site du Groupe WP SOLUTION

inscrivez vous a la newsletter

Nous vous enverrons des informations utiles et de qualité pour apprendre ainsi à mieux protéger votre site.
newsletter pour actualité WorPress

Partager cet article