**Smart Slider 3** pour **WordPress**, utilisé sur plus de 900 000 sites Web, a subi une violation de sécurité majeure après que des pirates ont détourné son système de mise à jour. La mise à jour malveillante, affectant spécifiquement la version Pro 3.5.1.35, a été distribuée le 7 avril, compromettant potentiellement de nombreux sites Web. Il est conseillé aux utilisateurs de mettre immédiatement à jour vers la version 3.5.1.36 ou de revenir à la version 3.5.1.34 ou antérieure. ### Malware à plusieurs niveaux Selon une analyse de **PatchStack**, le malware injecté est une boîte à outils sophistiquée et à plusieurs niveaux intégrée dans le fichier principal du plugin. Il maintient la fonctionnalité normale du plugin tout en introduisant plusieurs vulnérabilités critiques : * Exécution de commandes à distance non authentifiée via des en-têtes HTTP spécialement conçus. * Backdoor authentifiée avec exécution de commandes PHP eval et OS. * Vol automatisé d'identifiants.  *Création d'un compte administrateur caché* *Source : PatchStack* ### Mécanismes de persistance Le malware utilise plusieurs couches de persistance pour assurer son fonctionnement continu, même après la prise de mesures de sécurité : * **Compte administrateur caché :** Création d'un compte administrateur caché avec des identifiants stockés dans la base de données. * **Répertoire 'mu-plugins' :** Création d'un répertoire 'mu-plugins' et d'un plugin indispensable se faisant passer pour un composant de mise en cache légitime. Ces plugins sont chargés automatiquement et ne peuvent pas être désactivés via le tableau de bord WordPress. * **Backdoor de thème :** Injection d'une backdoor dans le fichier *functions.php* du thème actif, assurant la persistance tant que le thème reste actif. * **Injection dans le répertoire *wp-includes* :** Un fichier PHP imitant une classe principale légitime de WordPress est injecté dans le répertoire *wp-includes*. Cette backdoor repose sur un fichier `.cache_key` pour l'authentification, contournant les modifications d'identifiants de la base de données. ### Installations Joomla affectées Le fournisseur a émis un avertissement similaire pour les installations **Joomla**, indiquant que la version 3.5.1.35 du plugin peut créer un compte administrateur caché (généralement avec le préfixe *wpsvc_*) et installer des backdoors supplémentaires dans les répertoires `/cache` et `/media`. Il vole également des informations sur le site et des identifiants. ### Actions recommandées La mise à jour malveillante a été distribuée le 7 avril. L'équipe **Smart Slider** recommande de restaurer les sauvegardes du 5 avril pour tenir compte des éventuelles différences de fuseaux horaires. Si aucune sauvegarde n'est disponible, supprimez le plugin compromis et installez une version propre (3.5.1.36). Les administrateurs qui trouvent la version compromise du plugin doivent supposer un compromis total du site et prendre les mesures suivantes : * Supprimer les utilisateurs, fichiers et entrées de base de données malveillants. * Réinstaller le cœur de WordPress, les plugins et les thèmes provenant de sources fiables. * Rotation de tous les identifiants (WP, DB, FTP/SSH, hébergement, e-mail). * Régénérer les clés de sécurité WordPress (salts). * Scanner les malwares restants et examiner les journaux. Le fournisseur fournit un guide manuel de nettoyage détaillé pour WordPress et Joomla, incluant : * Placer le site en mode maintenance et créer une sauvegarde. * Supprimer les utilisateurs administrateurs non autorisés. * Supprimer tous les composants malveillants. * Réinstaller tous les fichiers du cœur, plugins et thèmes. * Réinitialiser tous les mots de passe. * Scanner les malwares supplémentaires. Les recommandations finales incluent le renforcement du site en activant l'authentification à deux facteurs (2FA), la mise à jour des composants, la restriction de l'accès administrateur et l'utilisation de mots de passe forts et uniques.