WordPress : 30 plugins piégés par une porte dérobée — ce que les PME doivent faire maintenant

Début avril 2026, 30 plugins WordPress ont été fermés d'urgence après la découverte d'une porte dérobée cachée dans leur code. Plus de 20 000 sites actifs touchés. Ce que vous devez faire maintenant.

Le 6 avril 2026, des milliers de sites WordPress ont été silencieusement compromis via les plugins que leurs administrateurs avaient eux-mêmes installés et auxquels ils faisaient confiance depuis des années. C’est ce qu’on appelle une attaque par chaîne d’approvisionnement.

Ce qui s’est passé

Un acheteur anonyme a racheté début 2025 une trentaine de plugins WordPress de l’éditeur Essential Plugin — sliders, galeries, FAQ, formulaires WooCommerce — cumulant plus de 400 000 installations. Peu après, une porte dérobée a été insérée dans leur code, camouflée dans un simple changelog de mise à jour. Elle est restée inactive 8 mois.

Le 6 avril 2026, la backdoor s’est activée. En moins de 7 heures, du code malveillant a été injecté dans des milliers de fichiers wp-config.php : création d’un compte administrateur invisible, vol de données de formulaires, pages spam, redirections frauduleuses.

⚠️ L’ampleur
Plus de 20 000 sites WordPress actifs exposés. WordPress.org a fermé d’urgence les 30 plugins le 14 avril 2026. La backdoor utilisait un smart contract Ethereum pour masquer son serveur de commande — rendant tout blocage de domaine inefficace.

Pourquoi c’est dangereux pour les PME

🔓
Mises à jour automatiques = propagation automatique. L’attaque s’est répandue via le mécanisme de sécurité lui-même.
👤
Admin fantôme persistant. L’attaquant garde un accès permanent même après suppression du plugin.
📋
Vol de données de formulaires. Messages, devis, prises de RDV interceptés et transmis à des tiers.

5 réflexes à avoir maintenant

  1. Vérifier vos plugins installés — supprimez tout plugin inutilisé ou d’origine inconnue
  2. Contrôler les comptes administrateurs — Utilisateurs > Administrateur, supprimez tout compte non reconnu (et vérifiez en base de données)
  3. Lancer un scan Wordfence complet — restaurez les fichiers core modifiés
  4. Inspecter wp-config.php via FTP — supprimez tout bloc PHP illisible en début de fichier
  5. Changer tous les mots de passe — WordPress, base de données, FTP, hébergeur
⚠️ Supprimer le plugin ne suffit pas
La backdoor a déjà modifié vos fichiers système et créé un compte admin. Un audit complet de fichiers et de base de données est indispensable.

La leçon pour votre infrastructure

Un site WordPress mal suivi est une porte d’entrée vers vos données clients. Limiter les plugins au strict nécessaire, maintenir des sauvegardes quotidiennes testées et surveiller Wordfence sont les trois pratiques qui permettent de détecter ce type d’attaque avant qu’il ne soit trop tard.

Votre site WordPress est-il sécurisé ?

ASCOËT Technologies réalise un audit de sécurité complet de votre site et de votre infrastructure — réponse sous 24h, sans engagement.