Plus de 30 plugins WordPress du paquet EssentialPlugin ont été victimes d’une compromission, intégrant un code malveillant permettant un accès non autorisé aux sites qui les utilisent. Ce code de type backdoor a été injecté l’année précédente, mais son activation pour les utilisateurs a eu lieu récemment, entraînant la création de pages de spam et des redirections, selon les directives reçues d’un serveur de commandement et de contrôle (C2).
Cette compromission touche des plugins comptabilisant des centaines de milliers d’installations actives. Austin Ginder, fondateur du fournisseur d’hébergement WordPress géré Anchor Hosting, a découvert cette situation après avoir reçu un avertissement concernant un add-on contenant du code permettant un accès tiers.
Une enquête plus approfondie de Ginder a révélé que la backdoor était présente dans tous les plugins de l’ensemble EssentialPlugin depuis août 2025, après que le projet a été acquis par un nouveau propriétaire dans le cadre d’un accord à six chiffres.
Fondée en 2015 sous le nom de WP Online Support et rebranding en 2021, EssentialPlugin est une société de développement WordPress proposant divers outils tels que des sliders, des galeries, des outils marketing, des extensions WooCommerce, ainsi que des méthodes SEO et des thèmes.
Ginder a précisé que la backdoor était restée inactive jusqu’à ce qu’elle soit récemment activée, initiant ainsi des connexions silencieuses vers une infrastructure externe pour récupérer un fichier (‘wp-comments-posts.php’) qui injecte du malware dans ‘wp-config.php’. Ce malware est invisible pour les propriétaires des sites et utilise des adresses de résolution C2 basées sur Ethereum pour échapper à la détection. Selon les instructions reçues, il peut alors récupérer des « liens de spam, redirections et pages falsifiées. »
“Le code injecté était complexe. Il récupérait des liens de spam et des redirections d’un serveur de commande et de contrôle, en ne les affichant qu’à Googlebot, ce qui le rendait invisible pour les propriétaires de sites,” a expliqué Ginder.
Une analyse de la plateforme de sécurité WordPress PatchStack a mis en lumière que la backdoor ne fonctionnait que si l’endpoint ‘analytics.essentialplugin.com’ retournait un contenu sérialisé malveillant.
Réactions de WordPress et état d’infection
WordPress.org a réagi rapidement aux rapports concernant cette activité malveillante en fermant les plugins concernés et en déployant une mise à jour obligatoire pour neutraliser la communication de la backdoor et désactiver son chemin d’exécution. Toutefois, les développeurs ont mis en garde que cette action n’a pas permis de nettoyer le fichier de configuration de base wp-config, qui relie les sites à leurs bases de données et comprend des paramètres cruciaux.
La Plugins Team de WordPress.org a également averti les administrateurs de sites utilisant un produit EssentialPlugin que, bien qu’un emplacement connu de la backdoor soit un fichier nommé wp-comments-posts.php, ressemblant au fichier légitime wp-comments-post.php, le malware pourrait également se cacher dans d’autres fichiers.
BleepingComputer a contacté EssentialPlugins pour obtenir un commentaire concernant cet incident malveillant survenu après l’acquisition, mais aucune réponse n’a été reçue à l’heure de la publication.