Une cyberattaque vise actuellement les sites web sur WordPress. Identifiée par les chercheurs de Sucuri, l’attaque consiste à déployer un logiciel malveillant sur les sites visés pour en prendre le contrôle. Pour contourner les mécanismes de sécurité de WordPress, le virus se fait passer pour des plugins WordPress légitimes et inoffensifs.
Il se fait par exemple passer pour un plugin appelé DebugMaster Pro, avec de fausses informations réfléchies, comme un numéro de version, un lien vers un dépôt GitHub et une description soignée. Les pirates ont développé le malware en incorporant différentes couches d’obscurcissement. En d’autres termes, les hackers ont camouflé les fonctions malveillantes de leur virus en complexifiant le code. Cette astuce permet de berner une grande partie des outils de sécurité.
« Ce fichier a essayé de ressembler à un plugin légitime, […] mais son contenu était fortement brouillé et clairement malveillant », explique Sucuri dans son rapport.
À lire aussi : six millions de sites web sont victimes d’une faille de sécurité
Un virus qui passe sous le radar
Une fois au sein de WordPress, le logiciel malveillant va d’abord se supprimer de la liste des plugins installés. Il maximise ainsi les chances de passer sous le radar. Ensuite, il va créer des comptes d’administrateur, ce qui permet aux attaquants de maintenir un accès persistant sur le site. Si vous « essayiez de supprimer cet utilisateur, il se recréerait simplement », soulignent les experts. C’est « une porte dérobée furtive ».
Dans la foulée, il récupère les identifiants des comptes administrateur déjà créés. Les pirates obtiennent ainsi le contrôle du site sur WordPress. Le virus peut passer inaperçu pendant des années. De même, les administrateurs n’ont pas forcément conscience du fait que les pirates ont le contrôle de leur site. Pour passer inaperçu, le virus injecte du code qui s’active pour tous les utilisateurs, sauf si le visiteur est un administrateur.
Les risques posés par les malwares WordPress
Comme le soulignent les chercheurs, les cybercriminels peuvent mener une série d’attaques différentes visant les internautes. Par exemple, ils peuvent rediriger les visiteurs sur des sites de phishing, taillés pour aspirer leurs données personnelles ou leurs coordonnées bancaires. C’est la porte ouverte à une grande variété d’attaques.
Ce n’est pas la première fois qu’on vous parle d’une cyberattaque à l’encontre des sites reposant sur WordPress. Il y a quelques mois, des chercheurs ont découvert que plus de 20 000 sites WordPress ont été compromis par un virus, appelé DollyWay, entre 2016 et 2025. Une fois compromis, les sites ont été utilisés pour pousser les internautes sur des plateformes d’escroqueries en ligne.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Sucuri
