Les pirates informatiques utilisent le répertoire WordPress mu-plugins (« Plugins indispensables ») pour exécuter furtivement du code malveillant sur chaque page tout en échappant à la détection.
La technique a été observée pour la première fois par des chercheurs en sécurité à Sucuri en février 2025, mais les taux d’adoption sont à la hausse, les acteurs de la menace utilisant désormais le dossier pour exécuter trois types distincts de code malveillant.
« Le fait que nous ayons vu autant d’infections à l’intérieur de mu-plugins suggère que les attaquants ciblent activement ce répertoire comme un point d’ancrage persistant », explique Puja Srivastava, analyste en sécurité chez Sucuri.
Logiciel malveillant » indispensable »
Les plugins incontournables (mu-plugins) sont un type spécial de plugin WordPress qui s’exécute automatiquement à chaque chargement de page sans avoir besoin d’être activé dans le tableau de bord d’administration.
Ce sont des fichiers PHP stockés dans le répertoire’ wp-content/mu-plugins / ‘ qui s’exécutent automatiquement lorsque la page est chargée, et ils ne sont pas répertoriés dans la page d’administration régulière « Plugins » à moins que le filtre » Must-Use » ne soit coché.
Les plugins Mu ont des cas d’utilisation légitimes tels que l’application de fonctionnalités à l’échelle du site pour des règles de sécurité personnalisées, des ajustements de performances et la modification dynamique de variables ou d’autres codes.
Cependant, comme les plug-ins MU s’exécutent à chaque chargement de page et n’apparaissent pas dans la liste des plug-ins standard, ils peuvent être utilisés pour effectuer furtivement un large éventail d’activités malveillantes, telles que le vol d’informations d’identification, l’injection de code malveillant ou la modification de la sortie HTML.
Sucuri a découvert trois charges utiles que les attaquants plantent dans le répertoire mu-plugins, ce qui semble faire partie d’opérations motivées financièrement.
Celles-ci sont résumées comme suit:
- rediriger.php: Redirige les visiteurs (à l’exclusion des robots et des administrateurs connectés) vers un site Web malveillant (mises à jour maintenant[.] net) qui affiche une fausse invite de mise à jour du navigateur pour les inciter à télécharger des logiciels malveillants.
- indice.php: Webshell qui agit comme une porte dérobée, récupérant et exécutant du code PHP à partir d’un référentiel GitHub.
- chargeur js personnalisé.php: Charge JavaScript qui remplace toutes les images du site par du contenu explicite et détourne tous les liens sortants, ouvrant à la place des fenêtres contextuelles ombragées.
Le cas webshell est particulièrement dangereux car il permet aux attaquants d’exécuter à distance des commandes sur le serveur, de voler des données et de lancer des attaques en aval sur les membres/visiteurs.
Les deux autres charges utiles peuvent également être dommageables car elles nuisent à la réputation d’un site et aux scores de référencement en raison de redirections louches et tentent d’installer des logiciels malveillants sur les ordinateurs des visiteurs.
Sucuri n’a pas déterminé la voie d’infection exacte, mais émet l’hypothèse que les attaquants exploitent des vulnérabilités connues sur les plugins et les thèmes ou des informations d’identification de compte administrateur faibles.
Il est recommandé aux administrateurs de sites WordPress d’appliquer des mises à jour de sécurité sur leurs plugins et thèmes, de désactiver ou de désinstaller ceux qui ne sont pas nécessaires et de protéger les comptes privilégiés avec des informations d’identification solides et une authentification multifacteur.