Des chercheurs en cybersécurité ont récemment découvert une backdoor furtive exploitée dans les installations WordPress via le répertoire mu-plugins. Cette méthode permet aux acteurs malveillants de maintenir un accès administrateur discret tout en évitant toute détection par les interfaces classiques d’administration WordPress.
Qu’est-ce qu’un mu-plugin: Pourquoi cette cible est-elle idéale?
Les must-use plugins, ou mu-plugins, sont des extensions spéciales de WordPress stockées dans le dossier wp-content/mu-plugins. Ils sont automatiquement activés sur tous les sites de l’installation et ne s’affichent pas dans la page classique des extensions de l’administration WordPress.
Contrairement aux plugins standards, les mu-plugins ne peuvent pas être désactivés depuis le tableau de bord. Leur suppression nécessite l’intervention manuelle sur le serveur, ce qui en fait une cachette parfaite pour du code malveillant.
Méthode d’infection: Comment la porte dérobée fonctionne-t-elle?
L’attaque commence par l’ajout d’un fichier PHP malveillant nommé wp-index.php dans le répertoire mu-plugins. Ce fichier agit comme un chargeur de charge utile. Il récupère un second script distant, dissimulé dans une chaîne ROT13, une méthode simple de chiffrement par substitution.
Injection via base de données
Une fois téléchargée, la charge utile est temporairement stockée sur le disque avant d’être exécutée. Elle est également enregistrée dans la base de données WordPress sous la clé _hdra_core de la table wp_options. Cela permet à l’attaquant de réactiver la backdoor même après sa suppression apparente.
Création d’un gestionnaire de fichiers caché
Le script injecte un fichier PHP supplémentaire appelé pricing-table-3.php dans le répertoire du thème actif. Il s’agit d’un gestionnaire de fichiers clandestin permettant à l’attaquant de naviguer dans l’arborescence, d’envoyer ou de supprimer des fichiers en toute discrétion.
Escalade des privilèges: Création d’un super administrateur
L’un des comportements les plus préoccupants est la création automatique d’un compte administrateur nommé officialwp. Ce compte possède des droits complets, et il est associé à un plugin malveillant nommé wp-bot-protect.php, téléchargé et activé silencieusement.
Verrouillage des administrateurs légitimes
Le malware ne se contente pas de créer un compte malveillant. Il est aussi capable de modifier les mots de passe d’utilisateurs existants tels que admin, root ou wpsupport, leur assignant une nouvelle valeur prédéfinie par l’attaquant. Même le compte officialwp peut être restauré automatiquement.
Conséquences: Quels sont les risques pour le site WordPress?
Une fois le site compromis, les pirates peuvent:
- Exfiltrer des données confidentielles ;
- Injecter des scripts redirigeant les visiteurs vers des sites frauduleux ;
- Utiliser le site pour propager d’autres malwares ;
- Détourner le référencement et compromettre l’image de la marque.
La capacité à modifier dynamiquement le comportement du code injecté grâce à l’exécution de commandes distantes rend cette menace extrêmement flexible et durable.
Mesures de prévention: Comment se protéger efficacement?
1. Surveiller les fichiers mu-plugins
Le répertoire wp-content/mu-plugins doit être régulièrement audité. Aucun fichier ne devrait s’y trouver sans justification claire.
2. Mettre à jour WordPress et ses composants
Une installation obsolète est une cible idéale. Les mises à jour de sécurité doivent être appliquées dès leur disponibilité, tant pour WordPress que pour les thèmes et plugins actifs.
3. Renforcer les comptes d’administration
Utiliser des mots de passe uniques et complexes, activer l’authentification à deux facteurs, et surveiller les connexions inhabituelles. Tout compte inconnu (ex: officialwp) doit immédiatement être supprimé.
4. Scanner les thèmes et plugins pour repérer les fichiers injectés
Des fichiers comme pricing-table-3.php dans les répertoires de thèmes doivent être considérés comme suspects.
Conclusion: Un rappel inquiétant sur les failles de WordPress mal entretenus
Cette attaque démontre que même des fonctions méconnues de WordPress comme les mu-plugins peuvent être exploitées pour implanter des portes dérobées furtives. En combinant persistance, escalade de privilège, et dissimulation, les attaquants obtiennent un contrôle total sur les sites infectés.
Une stratégie de sécurité proactive passe par la mise à jour régulière des composants, l’analyse des répertoires sensibles, la vérification des utilisateurs administrateurs, et l’implémentation de systèmes de détection comportementale.