Retour à l'accueil

Porte dérobée dans les plugins WordPress : C2 dans Ethereum

Hacker a injecté une porte dérobée dans plus de 30 plugins WordPress via achat sur Flippa, en utilisant désérialisation PHP et C2 dans contrat Ethereum pour spam SEO. L'attaque résiste aux blocages, nécessite audit de wp-config.php et logs. Checklist et mesures de protection pour les développeurs.

Hacker a piraté 30 plugins WP via C2 Ethereum
Advertisement 728x90

Backdoor dans 30+ plugins WordPress : désérialisation PHP et C2 dans un contrat Ethereum

Un hacker a acquis plus de 30 plugins populaires via la plateforme Flippa, a intégré une backdoor invisible en utilisant la désérialisation PHP, puis l’a activée huit mois plus tard pour propager du spam SEO. Le serveur de commande et contrôle (C2) est dissimulé dans un contrat intelligent Ethereum, ce qui le rend résistant aux prises de contrôle classiques des domaines. Les plugins compromises provenant d’Essential Plugin (anciennement WP Online Support) ont été retirés de WordPress.org le 7 avril 2026.

Comment la backdoor a été introduite

La faille est apparue dans le premier commit SVN du nouvel propriétaire en août 2025. Dans le fichier class-anylc-admin.php, 191 lignes de code ont été ajoutées sous prétexte de vérifications de compatibilité avec WordPress 6.8.2. Les éléments clés sont :

  • La méthode fetch_ver_info() récupère des données depuis un serveur distant via file_get_contents() et applique @unserialize().
  • La méthode version_info_clean() exécute des fonctions arbitraires — le nom de fonction, les arguments et le payload proviennent de la réponse désérialisée.
  • Un point d’API REST avec permission_callback: __return_true — aucune authentification requise.

Il s’agit d’une attaque classique d’exécution de fonctions arbitraires. La backdoor est restée inactive pendant huit mois, accumulant silencieusement des installations pour rompre tout lien avec l’ancien développeur.

Google AdInline article slot

L’activation s’est produite entre le 5 et le 6 avril 2026 : le module wpos-analytics a téléchargé wp-comments-posts.php depuis analytics.essentialplugin.com et injecté du code PHP dans wp-config.php. Le payload met en œuvre un camouflage pour Googlebot — liens spam, redirections et pages fantômes visibles uniquement aux robots de recherche.

C2 résilient via Ethereum

Le domaine C2 n’est pas codé en dur ni basé sur DNS. À la place, la backdoor interroge des points d’accès RPC publics Ethereum (Infura, Alchemy) et lit directement l’adresse du serveur à partir d’un contrat intelligent.

Avantages pour l’attaquant :

Google AdInline article slot
  • Une seule transaction (~3 $ de gaz) met à jour le domaine pour tous les sites infectés. Les prises de contrôle de domaine sont inutiles — le contrat vit éternellement sur la blockchain.

Inconvénients :

  • Les transactions sont publiques, permettant une surveillance du contrat. Bloquer l’accès RPC au niveau de l’hébergement ou du WAF fonctionne — mais risque de perturber les dApps légitimes.

Compromis : la décentralisation rend la fermeture plus difficile, mais simplifie la détection par analyse on-chain.

Historique d’acquisition et contexte

L’entreprise, fondée en 2015 (Minesh Shah et al.), a changé de nom en Essential Plugin, gérant plus de 30 plugins gratuits avec des versions premium. Son chiffre d’affaires a chuté de 35 à 45 % à la fin 2024, avant d’être mise en vente sur Flippa. L’acheteur « Kris », expérimenté en SEO, crypto et casinos en ligne, a payé une somme à six chiffres.

Google AdInline article slot

Schéma similaire : en 2017, « Daley Tias » a acheté Display Widgets (200 000 installations) pour 15 000 $ et a introduit du spam. L’échelle s’est étendue à plus de 30 plugins avec une infrastructure avancée.

Liste complète des plugins compromis

WordPress.org les a retirés le 7 avril 2026. Vérifiez immédiatement et supprimez :

  • Accordion et Slider Accordion
  • Album et Galerie d'Images Plus Lightbox
  • Lecteur Audio avec Playlist Ultimate
  • Concepteur de Blog pour Articles et Widgets
  • Chronomètre Compte à Rebours Ultimate
  • Article Mis en Avant Créatif
  • Grille Mega Pied de Page Colonnes
  • Bannière Héroïque Ultimate
  • Vidéo Gallery HTML5 Plus Lecteur
  • Meta Slider et Carousel avec Lightbox
  • Popup N’importe Où au Clic
  • Portfolio et Projets
  • Image de Catégorie d’Article avec Grille et Slider
  • Grille et Filtre de Posts Ultimate
  • Préchargeur pour Site Web
  • Designs de Catégories de Produits pour WooCommerce
  • FAQ Responsive WP avec Catégorie (sp-faq)
  • SlidersPack — Tous les Sliders Image en Un
  • SP News And Widget
  • Styles pour WP PageNavi — Addon
  • Ticker Ultimate
  • Timeline et Slider d'Histoire
  • Slider et Carousel Produits Woo avec Catégorie
  • WP Blog et Widgets
  • WP Contenu Mis en Avant et Slider
  • WP Logo Showcase Slider et Carousel Réactif
  • WP Slider de Derniers Articles Réactifs
  • WP Slick Slider et Carousel Image
  • WP Showcase Équipe et Slider
  • WP Témoignages avec Widget
  • WP Slider de Posts Tendances et Widget

Check-list de nettoyage

Les mises à jour forcées (ex. 2.6.9.1) n’ont ajouté que return; — le module wpos-analytics reste actif. Agissez maintenant :

  • wp plugin list --format=csv — vérifiez les auteurs (Essential Plugin, WP Online Support).
  • Supprimez et réinstallez depuis des sources fiables.
  • grep -E "wp-comments-posts|file_get_contents|unserialize" wp-config.php
  • grep -E "0x[a-f0-9]{40}|eth_call|infura|alchemy" wp-config.php
  • Vérifiez stat wp-config.php (heure de modification).
  • Examinez les logs : analytics.essentialplugin.com, activités RPC Ethereum mars–avril 2026.
  • Soumettez à nouveau votre site dans Search Console après nettoyage.

Points clés :

  • Les backdoors existent dans les versions post-août 2025 — le code persiste même après les mises à jour.
  • Le C2 dans les contrats Ethereum résiste aux blocages DNS — surveillez l’utilisation RPC.
  • Le camouflage affecte uniquement Googlebot — le site semble propre aux utilisateurs.
  • Les attaques en chaîne d’approvisionnement se propagent via Flippa sans diligence raisonnable.
  • L’analyse de diff code vs journal des modifications est obligatoire en production.

Se protéger contre les attaques en chaîne d’approvisionnement

WordPress.org devrait implémenter une vérification des mainteneurs et des contrôles automatisés de différences SVN. Pour les développeurs confirmés :

  • Automatisez les diffs : mention du changelog « compatibilité » + 191 lignes supplémentaires = alerte rouge.
  • Règles WAF : bloquez les appels RPC depuis des endpoints suspects.
  • Surveillance : suivez les transactions du contrat on-chain et les connexions sortantes.

L’échelle a augmenté — de 9 plugins en 2017 à plus de 30 aujourd’hui. Auditez vos sites immédiatement.

— Editorial Team

Advertisement 728x90

Lire ensuite