Attaque supply chain WordPress : 31 plugins backdoorés après rachat sur Flippa
🔍 Contexte Article publié le 9 avril 2026 par Austin Ginder sur anchor.host. Il s’agit d’un post-mortem technique détaillé d’une attaque de chaîne d’approvisionnement ciblant l’écosystème WordPress, découverte suite à une alerte client sur un plugin nommé Countdown Timer Ultimate. 🎯 Nature de l’attaque Un acheteur identifié uniquement comme « Kris », avec un profil en SEO, crypto et marketing de jeux d’argent en ligne, a acquis début 2025 via la marketplace Flippa le portefeuille de 31 plugins WordPress de la société « Essential Plugin » (anciennement WP Online Support) pour un montant à six chiffres. Dès son premier commit SVN le 8 août 2025, il a introduit un backdoor PHP par désérialisation dans le fichier class-anylc-admin.php du plugin Countdown Timer Ultimate (version 2.6.7), en mentant dans le changelog (« Check compatibility with WordPress version 6.8.2 »). ...