Le plugin Quick Page/Post Redirect, présent sur plus de 70 000 sites WordPress, abritait une backdoor dormante depuis cinq ans. Cette vulnérabilité permet l’injection de code arbitraire sur les sites des utilisateurs.
Austin Ginder, fondateur du fournisseur d’hébergement Anchor, a détecté le malware après une alerte de sécurité sur 12 sites infectés de sa plateforme.
Ce plugin, disponible depuis plusieurs années sur WordPress.org, sert à configurer des redirections pour les articles, les pages et les URL personnalisées.
Retrait temporaire du répertoire officiel
WordPress.org a suspendu la publication du plugin en attendant une enquête approfondie. Les origines exactes de la backdoor restent floues : l’auteur l’a-t-il intégrée lui-même, ou un tiers a-t-il compromis son compte ?
Les versions officielles 5.2.1 et 5.2.2, publiées entre 2020 et 2021, intégraient un mécanisme de mise à jour automatique orienté vers le domaine tiers anadnet[.]com. Ce système autorisait le déploiement de code externe, hors du contrôle de WordPress.org.
En février 2021, ce composant malveillant a disparu des versions suivantes, avant toute vérification par les relecteurs de code.
Installation silencieuse d’une version corrompue
Le mois suivant, en mars 2021, les sites équipés des versions 5.2.1 ou 5.2.2 ont téléchargé discrètement une édition falsifiée de la 5.2.3 depuis le serveur externe. Cette mise à jour introduisait une backdoor passive.
Le fichier provenant de w.anadnet[.]com présentait un hachage différent de celui hébergé sur WordPress.org.
La backdoor s’active uniquement pour les visiteurs non connectés, via un crochet sur la fonction the_content. Elle récupère des données du serveur anadnet, probablement pour des opérations de spam en SEO parasitaire.
Selon Ginder, le plugin monétisait les positions dans les résultats Google sur 70 000 sites, au profit des opérateurs du canal parallèle en 2021.
Risque persistant malgré l’inactivité
Le vrai péril réside dans le mécanisme de mise à jour, toujours opérationnel sur les installations affectées. Actuellement inactif car le sous-domaine de commande et contrôle ne répond plus, il pourrait exécuter du code arbitraire à tout moment. Le domaine principal demeure actif.
Pour se protéger, les administrateurs doivent supprimer le plugin et l’échanger contre une copie propre de la version 5.2.4 depuis WordPress.org, dès sa réactivation.
Ginder interpelle les responsables de la backdoor : ils pourraient diffuser un manifeste de mise à jour statique forçant l’upgrade automatique vers la version saine, neutralisant ainsi la menace sur les sites compromis. Près de 70 000 installations conservent encore cette vérification de mise à jour vers le serveur anadnet.