WordPress : 30 plugins compromis après une vente suspecte sur Flippa

Une trentaine d'extensions WordPress populaires ont été discrètement vérolées, transformant des sites web en cibles faciles pour des attaquants. L'attaque ne provient pas d'une vulnérabilité technique classique, mais d'un changement de propriétaire malveillant. Après l'acquisition de l'entreprise indienne EssentialPlugin (anciennement WP Online Support) sur la plateforme Flippa, les nouveaux plugins ont été modifiés pour y intégrer une porte dérobée, permettant à un individu se faisant appeler « Kris » de prendre le contrôle à distance des sites utilisant ces extensions.

EssentialPlugin, qui développait ces outils depuis 2015, proposait des utilitaires très répandus comme des comptes à rebours, des carrousels ou des galeries photos, certains cumulant des centaines de milliers d'installations. La société, confrontée à une chute sévère de ses revenus fin 2024, a été mise en vente. L'acheteur a ensuite injecté du code malveillant directement dans les mises à jour officielles des plugins, une méthode qui contourne les défenses traditionnelles et compromet immédiatement tous les sites ayant effectué la mise à jour.

Cette opération soulève des questions critiques sur la sécurité de la chaîne d'approvisionnement logicielle et les risques liés à l'acquisition d'actifs numériques sur des marchés comme Flippa. Pour les centaines de milliers de propriétaires de sites WordPress concernés, la menace est directe : leurs données et l'intégrité de leur plateforme sont potentiellement exposées. L'incident met en lumière un vecteur d'attaque croissant où la confiance dans un éditeur légitime est détournée via une transaction commerciale, forçant la communauté à reconsidérer la manière dont elle évalue la sécurité des dépendances logicielles.