🗓️ Contexte

Source : BleepingComputer — publié le 15 avril 2026. L’article rapporte une attaque de type supply chain ciblant la suite de plugins WordPress EssentialPlugin, anciennement connue sous le nom WP Online Support (fondée en 2015, rebaptisée en 2021).

🔍 Déroulement de l’incident

Après le rachat du projet EssentialPlugin pour un montant à six chiffres par un nouveau propriétaire, un backdoor a été introduit dans l’ensemble des plugins de la suite dès août 2025. Ce code malveillant est resté inactif pendant plusieurs mois avant d’être activé récemment via des mises à jour poussées aux utilisateurs.

La découverte a été faite par Austin Ginder, fondateur de l’hébergeur WordPress Anchor Hosting, après réception d’un signalement sur un plugin contenant du code permettant un accès tiers non autorisé.

⚙️ Mécanisme technique

  • Le backdoor contacte silencieusement l’infrastructure externe analytics.essentialplugin.com pour récupérer un fichier nommé wp-comments-posts.php (similaire au fichier légitime wp-comments-post.php)
  • Ce fichier injecte du malware dans wp-config.php, le fichier de configuration central de WordPress
  • Le malware utilise une résolution d’adresse C2 basée sur Ethereum pour l’évasion
  • Le code injecté est invisible aux propriétaires de sites et ne présente le spam qu’au Googlebot (SEO poisoning)
  • Selon PatchStack, le backdoor ne s’activait que si l’endpoint analytics.essentialplugin.com retournait un contenu sérialisé malveillant
  • Les capacités observées incluent : liens de spam, redirections, et fausses pages

🎯 Impact

  • Plus de 30 plugins de la suite EssentialPlugin affectés
  • Des centaines de milliers d’installations actives potentiellement compromises
  • Les plugins couvrent : sliders, galeries, outils marketing, extensions WooCommerce, utilitaires SEO/analytics, thèmes

🛡️ Réponse

  • WordPress.org a fermé les plugins concernés et poussé une mise à jour forcée pour neutraliser la communication du backdoor
  • Avertissement : la mise à jour forcée ne nettoie pas wp-config.php
  • Le malware peut également se trouver dans d’autres fichiers au-delà de wp-comments-posts.php

📌 Nature de l’article

Article de presse spécialisée relatant un incident de compromission de chaîne d’approvisionnement logicielle WordPress, avec des éléments d’analyse technique issus de PatchStack et du chercheur Austin Ginder.

🧠 TTPs et IOCs détectés

TTP

  • T1195.002 — Compromise Software Supply Chain (Initial Access)
  • T1505.003 — Server Software Component: Web Shell (Persistence)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1568 — Dynamic Resolution (Command and Control)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1608.001 — Stage Capabilities: Upload Malware (Resource Development)
  • T1565.001 — Data Manipulation: Stored Data Manipulation (Impact)

IOC

  • Domaines : analytics.essentialplugin.comVT · URLhaus · ThreatFox
  • Fichiers : wp-comments-posts.php
  • Chemins : /wp-config.php

Malware / Outils

  • EssentialPlugin Backdoor (backdoor)

🟡 Indice de vérification factuelle : 60/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 3167 chars — texte complet (15pts)
  • ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ 0/1 IOCs confirmés externellement (0pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/wordpress-plugin-suite-hacked-to-push-malware-to-thousands-of-sites/