Un backdoor implanté il y a des années dans le plugin Quick Page / Post Redirect - installé sur des dizaines de milliers de sites WordPress - transforme un utilitaire apparemment inoffensif en passerelle pour l'injection de code arbitraire et les opérations de spam SEO. Le chercheur Austin Ginder, fondateur de l'hébergement Anchor, a détecté la campagne après plusieurs alertes sur sa plateforme et documenté comment les anciennes versions officielles du plugin contenaient un mécanisme d'auto-actualisation caché qui consultait un serveur externe, permettant de remplacer ou d'injecter du code en dehors du contrôle du dépôt officiel.
La menace combine deux vecteurs dangereux : une mise à jour "silente" d'un serveur autre que WordPress.org et un backdoor qui n'est activé que pour les utilisateurs déconnectés, ce qui rend difficile la détection par les administrateurs. Selon l'analyse, les versions 5.2.1 et 5.2.2 incluaient la logique malveillante qui pointait vers anadnet [.] com; en mars 2021 une construction 5.2.3 a été utilisée de cette infrastructure avec un hachage différent de celui de la même version sur WordPress.org, et qui construit ajouté un code piraté au _ contenu pour injecter des charges utiles orientées vers le spam SEO.
Le risque réel n'est pas seulement le spam visible : le mécanisme distant d'auto-mise à jour vous a permis d'exécuter le code arbitraire sur demande. Bien qu'aujourd'hui ce sous-domaine de contrôle ne résolve pas toutes les installations, que la "porte" est toujours présente dans les sites touchés et peut être réactivée si l'acteur derrière le domaine la réactive ou si l'infrastructure change de mains. WordPress.org a temporairement retiré le plugin du répertoire pour examen, mais alors qu'il ya des installations avec la mise à jour point vers le serveur externe le risque reste.
Si vous gérez un WordPress, la première mesure immédiate est de vérifier si vous avez Quick Page / Post Redirect installé et quelle version fonctionne. Si votre installation est dans les versions compromises (5.2.1 ou 5.2.2) ou une copie qui aurait pu être mise à jour depuis ce serveur externe, désinstallez le plugin et ne faites pas confiance aux copies locales précédentes sans les vérifier. Remplacez-le par une version propre directement de WordPress.org quand il est publié (il a été pointé à 5.2.4 comme un arrangement) est l'action recommandée, mais pas la seule : la présence d'une mise à jour automatique malveillante nécessite un nettoyage et une vérification complète de l'intégrité du site.
En plus de désinstaller et de réinstaller à partir d'une source vérifiée, il est essentiel de vérifier les fichiers du site à la recherche de portes arrière. Vérifiez les fichiers récemment modifiés, comparez les hashes au dépôt officiel si possible, recherchez les appels sortants vers anadnet ou sous-domaines connexes dans les journaux de code et HTTP, et supprimez tout fichier suspect ou crontab. Rotation des pouvoirs administratifs, modification des clés API qui auraient pu être stockées sur le site et examen des utilisateurs administratifs pour détecter les comptes non autorisés.
Ne faites pas confiance seulement à la disparition de C2 : elle prend des mesures défensives au niveau du réseau et de l'hébergement en bloquant les domaines et sous-domaines malveillants (par exemple dans le pare-feu ou les serveurs) et active un WAF ou des règles de blocage dans votre fournisseur. Exécutez des analyses avec des outils WordPress spécialisés et envisagez de demander votre hébergement pour une analyse médico-légale si vous détectez des signes d'engagement. Pour commencer avec les scans et le nettoyage, vous pouvez consulter les ressources publiques de fournisseurs de sécurité spécialisés dans WordPress, comme Wordfence https: / / www.wordfence.com / o rapports et guide du découvreur lui-même à Anchor https: / / ancre.host / le-plugin-auteur-était-le-fournisseur-chaîne-attaque /.
Cet incident met en lumière une leçon majeure sur la chaîne d'approvisionnement du plugin: la confiance dans le dépôt officiel n'élimine pas le risque de modifications cachées s'il existe un mécanisme de mise à jour en dehors de l'écosystème contrôlé. Les responsables du plugin devraient éviter tout auto-uppater qui dépend de serveurs externes non vérifiés et les équipes d'examen ont besoin d'outils et de processus qui détectent les manifestes de mise à jour à distance et les différences de hachage entre les bâtiments identiques.
Pour les développeurs et administrateurs avancés, il est recommandé de mettre en œuvre une politique de contrôle d'intégrité (surveillance de l'intégrité des fichiers), de bloquer les fonctions PHP dangereuses lorsqu'elles ne sont pas nécessaires, et d'auditer régulièrement les dépendances des tiers. Pour les chefs d'entreprise et les éditeurs, la suggestion est de prioriser les plugins activement maintenus avec une bonne réputation, de revoir l'historique du changement et, dans les environnements critiques, d'évaluer l'utilisation de dépôts internes ou de solutions de paiement avec des garanties commerciales et un support technique.
Vulnérabilité dans Quick Page / Post Redirect est un rappel qu'un petit plugin peut devenir un multiplicateur de risque à grande échelle. Il agit rapidement : il identifie les installations touchées, fait un nettoyage complet ou restaure à partir de copies propres, bloque l'infrastructure malveillante et renforce les contrôles pour empêcher qu'un incident similaire ne se reproduise. Pour plus de contexte sur la façon de gérer les engagements de plugin et les mesures de réponse, la page officielle plugin WordPress peut servir de point de départ: https: / / wordpress.org / plugins /.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...