Plus de 30 plugins **WordPress** du package **EssentialPlugin** ont été compromis par du code malveillant, permettant un accès non autorisé aux sites web qui les utilisent. Un acteur malveillant a introduit le code de la backdoor l'année dernière, mais n'a commencé à la distribuer aux utilisateurs via des mises à jour que récemment, générant des pages de spam et des redirections basées sur des instructions provenant d'un serveur de commande et de contrôle (C2). La compromission affecte des plugins avec des centaines de milliers d'installations actives et a été découverte par **Austin Ginder**, fondateur du fournisseur d'hébergement géré **WordPress** **Anchor Hosting**, après avoir reçu une information concernant un module complémentaire contenant du code permettant un accès par un tiers. Une enquête plus approfondie menée par **Ginder** a révélé qu'une backdoor était présente dans tous les plugins du package **EssentialPlugin** depuis août 2025, suite à l'acquisition du projet par un nouveau propriétaire dans le cadre d'une transaction à six chiffres. **EssentialPlugin**, créé en 2015 sous le nom de WP Online Support et renommé en 2021, est une société de développement **WordPress** proposant des sliders, des galeries, des outils marketing, des extensions **WooCommerce**, des utilitaires SEO/analytiques et des thèmes. Selon **Ginder**, la backdoor est restée inactive jusqu'à récemment, date à laquelle elle a contacté silencieusement une infrastructure externe pour récupérer un fichier ('wp-comments-posts.php') qui injecte un malware dans 'wp-config.php'. Le malware téléchargé est conçu pour être invisible aux propriétaires de sites et utilise la résolution d'adresses C2 basée sur Ethereum pour l'évasion. En fonction des instructions reçues, le malware peut récupérer des "liens de spam, des redirections et de fausses pages". « Le code injecté était sophistiqué. Il récupérait des liens de spam, des redirections et de fausses pages depuis un serveur de commande et de contrôle. Il ne montrait le spam qu'à **Googlebot**, le rendant invisible aux propriétaires de sites », [a expliqué Ginder](https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/). L'analyse de la plateforme de sécurité **WordPress** **PatchStack** [montre](http://patchstack.com/articles/critical-supply-chain-compromise-on-20-plugins-by-essentialplugin/) que la backdoor ne fonctionnait que si le point de terminaison 'analytics.essentialplugin.com' renvoyait un contenu sérialisé malveillant. ### Action de WordPress et statut d'infection WordPress.org a réagi rapidement aux rapports d'activité malveillante en fermant les plugins et en poussant une mise à jour forcée aux sites web pour neutraliser la communication de la backdoor et désactiver son chemin d'exécution. Cependant, les développeurs ont averti que cette action ne nettoyait pas le fichier de configuration principal wp-config, qui relie les sites web à leurs bases de données et inclut des paramètres critiques. L'équipe des plugins de WordPress.org a également averti les administrateurs de sites web utilisant un produit **EssentialPlugin** que, bien qu'un emplacement connu pour la backdoor soit un fichier nommé `wp-comments-posts.php`, qui ressemble au fichier légitime `wp-comments-post.php`, le malware pourrait également se cacher dans d'autres fichiers. **BleepingComputer** a contacté **EssentialPlugins** pour obtenir un commentaire sur le commit malveillant signalé qui s'est produit après l'acquisition, mais n'a pas reçu de réponse au moment de la publication.