Selon Sucuri (blog), dans un billet publié le 31 janvier 2026, une nouvelle technique de malware ciblant WordPress crée de faux « répertoires » pour contourner et remplacer les permaliens, afin de diffuser du contenu de spam destiné aux moteurs de recherche.

L’article met en avant une technique de malware inédite sur WordPress qui exploite des répertoires factices pour outrepasser les permaliens. L’objectif est la diffusion de spam aux moteurs de recherche, avec un impact direct sur la visibilité et l’intégrité des sites affectés.

Lors d’une opération de nettoyage WordPress, un cas inhabituel de spam SEO furtif a été identifié :

  • Le site apparaissait normal pour les administrateurs et visiteurs
  • Mais Google affichait des résultats liés aux casinos et au gambling
  • Les pages touchées étaient des pages statiques de confiance (About Us, Contact, Privacy Policy, Terms & Conditions), rarement modifiées

Le contenu malveillant n’apparaissait que lorsque le User-Agent imitait un crawler (ex. Googlebot).

🔍 Technique clé : les Shadow Directories

Contrairement aux infections WordPress classiques, l’attaquant n’a ni modifié la base de données, ni injecté du code dans l’admin WordPress.

Il a exploité une faiblesse structurelle des serveurs web :

  • Création de répertoires physiques dont le nom correspond exactement aux permalinks WordPress
    • Exemple :
      • Permalink légitime : /about-us/
      • Répertoire malveillant créé sur le serveur : /about-us/
  • Apache/Nginx servent en priorité un dossier physique avant de passer par le routage WordPress (index.php)

👉 Résultat : détournement complet de la page, sans toucher à WordPress.

🧩 Structure des dossiers malveillants

Chaque shadow directory contenait systématiquement :

  • index.php → logique conditionnelle (humain vs bot)
  • indexx.php → copie HTML propre de la vraie page
  • readme.txt → page spam complète (casino, gambling)

⚙️ Fonctionnement du malware

  1. Détection du visiteur

    • Analyse du User-Agent
    • Ciblage précis de Googlebot et autres crawlers

  2. Comportement conditionnel

    • Crawler détecté → affichage du contenu de readme.txt
    • Visiteur humain → inclusion de indexx.php (page légitime)

  3. Spam avancé

    • HTML/JS complexe (600+ lignes)
    • CSS et métadonnées copiées d’Etsy
    • Usage massif de Schema.org / JSON-LD
      • Produits, notes, prix, offres
    • Objectif : manipuler les SERP et la crédibilité SEO

🚨 Impact

  • Injection de spam SEO à forte visibilité
  • Exploitation de la réputation du site
  • Risques :
    • Pénalités Google
    • Perte de trafic organique
    • Dégradation durable de la confiance SEO
  • Infection très furtive, difficile à détecter sans analyse serveur

🧼 Remédiation appliquée

  • Suppression de tous les shadow directories
  • Vérification avec plusieurs User-Agents
  • Audit des permissions et comptes
  • Réinitialisation complète des accès
  • Demande de re-indexation Google

🧠 TTPs (MITRE ATT&CK – extraits)

  • T1565.002 – Data Manipulation: Stored Data
  • T1036 – Masquerading (indexx.php, readme.txt déguisé)
  • T1071.001 – Application Layer Protocol: Web Protocols
  • T1591.002 – Gather Victim Web Infrastructure Information
  • T1564.004 – Hide Artifacts: NTFS / File System Artifacts
  • T1204.002 – User Execution: Malicious File (SEO-based delivery)

🧾 IOC observables

📁 Indicateurs fichiers / système

  • Répertoires physiques correspondant à des permalinks WordPress :
    • /about-us/
    • /contact/
    • /privacy-policy/
    • /terms-and-conditions/
  • Présence simultanée de :
    • index.php
    • indexx.php
    • readme.txt

🧠 Indicateurs comportementaux

  • Contenu différent selon le User-Agent
  • Spam visible uniquement pour Googlebot
  • SERP affichant casinos / pharma alors que le site semble propre

🌐 SEO / contenu

  • Texte “Slot Gacor”, gambling indonésien
  • JSON-LD suspect (produits, ratings, offres)
  • Métadonnées copiées de sites e-commerce légitimes (ex. Etsy)

🛡️ Recommandations clés

  • Auditer régulièrement le système de fichiers, pas seulement WordPress
  • Tester les pages avec des User-Agents de moteurs de recherche
  • Surveiller les SERP de son propre site
  • Déployer un WAF
  • Mettre en place des contrôles d’intégrité et du monitoring serveur

🧠 Conclusion

Cette technique de Shadow Directories montre une évolution avancée du spam SEO :
elle détourne la logique même des serveurs web pour contourner WordPress, échapper aux scanners classiques et rester invisible aux administrateurs.

👉 La sécurité WordPress ne se limite plus au CMS : elle commence au niveau du serveur. Conclusion: il s’agit d’une analyse de menace visant à exposer une méthode d’attaque et à fournir des indications de détection et de remédiation.

🔗 Source originale : https://blog.sucuri.net/2026/01/shadow-directories-a-unique-method-to-hijack-wordpress-permalinks.html