Des chercheurs en cybersécurité ont découvert une nouvelle méthode d’infection ciblant les sites WordPress. Des hackers exploitent les mu-plugins – ou must-use plugins – pour injecter du spam, rediriger les visiteurs vers des sites malveillants et maintenir un accès persistant. Cette technique innovante de piratage WordPress est particulièrement problématique car elle contourne les contrôles de sécurité habituels. Si vous recherchez des informations sur les dernières attaques WordPress, ou sur la manière de protéger votre site WordPress contre les hackers, cet article est indispensable.
Des plugins WordPress détournés pour contourner les défenses classiques
Les mu-plugins : une zone grise dans l’écosystème WordPress
Les mu-plugins WordPress sont rarement inspectés par les administrateurs. Placés dans le répertoire wp-content/mu-plugins, ils s’exécutent automatiquement sans apparaître dans l’interface standard des extensions. Cette caractéristique en fait une cible de choix pour les cybercriminels.
Selon une analyse de l’entreprise Sucuri, les pirates utilisent ce répertoire pour y dissimuler du code PHP malveillant, ce qui leur permet de rester invisibles et actifs pendant longtemps. Cette tactique échappe aux contrôles de sécurité classiques et inquiète les spécialistes car elle s’appuie sur des mécanismes légitimes du CMS.
Trois scripts malveillants identifiés dans les mu-plugins
Les chercheurs ont identifié trois fichiers frauduleux très utilisés par les hackers :
- redirect.php : redirige automatiquement les visiteurs vers un site malicieux sous prétexte de mise à jour de navigateur.
- index.php : agit comme une backdoor en téléchargeant des scripts PHP distants depuis GitHub permettant aux pirates d’exécuter du code à distance.
- custom-js-loader.php : injecte du contenu de type spam et remplace les images du site par des contenus explicites. Il sert également à détourner les liens externes pour rediriger vers des plateformes frauduleuses.
Le premier fichier exploite une fonction capable d’identifier si le visiteur est un bot (comme Googlebot) afin d’éviter les détections par les moteurs de recherche. Cette approche permet aux attaquants de ne pas compromettre le référencement naturel tout en propageant leurs scripts.
Les cybercriminels utilisent le SEO et des redirections malveillantes
Piratage de sites WordPress pour disséminer des scripts tiers
Au-delà de la simple injection de code, ces sites compromis sont utilisés pour d’autres campagnes. Les experts de la cybersécurité évoquent des attaques qui poussent les utilisateurs à exécuter des commandes PowerShell malveillantes via de fausses fenêtres CAPTCHA (type Cloudflare ou Google reCAPTCHA). Cette méthode répand un malware appelé Lumma Stealer dédié au vol d’informations personnelles sur les ordinateurs Windows.
Par ailleurs, du JavaScript malveillant est injecté sur les pages de paiement des sites piratés afin de collecter les données bancaires, une technique de skimming de plus en plus fréquente.
Failles exploitables à l’origine des compromissions
Malgré les techniques de dissimulation utilisées, les experts ne savent pas avec certitude comment les pirates prennent pied dans ces sites. Les causes probables incluent :
- Utilisation de plugins ou thèmes WordPress vulnérables
- Identifiants administrateurs compromis
- Mauvaise configuration des serveurs
Selon un rapport publié par Patchstack, plusieurs failles WordPress critiques ont été exploitées depuis début 2024 :
- CVE-2024-27956 – Vulnérabilité d’exécution SQL (score CVSS 9.9) dans WordPress Automatic Plugin
- CVE-2024-25600 – RCE critique (score 10.0) dans le thème Bricks
- CVE-2024-8353 – Injection d’objet PHP menant à une exécution de code à distance dans le plugin GiveWP
- CVE-2024-4345 – Téléversement de fichiers arbitraires via Startklar Elementor Addons
Comment renforcer la sécurité de son site WordPress
Bonnes pratiques à adopter pour éviter l’infection
Pour contrer ces menaces, les spécialistes recommandent :
- La mise à jour régulière des plugins et des thèmes
- Des audits de sécurité fréquents, notamment dans les dossiers sensibles comme
/mu-plugins - L’usage de mots de passe complexes et uniques
- Le déploiement d’un pare-feu applicatif (WAF) pour bloquer les requêtes malveillantes
Pour celles et ceux qui souhaitent apprendre à hacker dans un cadre légal et comprendre comment fonctionnent ces attaques, notre livre pour hacker est un excellent outil de formation. Il offre une immersion dans les techniques utilisées par les attaquants, ce qui permet d’anticiper et de mieux protéger son infrastructure web.
Chez CyberCare, nos services de sécurisation de site WordPress et notre accompagnement en cybersécurité offensive et défensive permettent d’anticiper ce type d’attaque avant qu’il ne soit trop tard.
