{"id":1604228,"date":"2025-03-31T13:48:37","date_gmt":"2025-03-31T15:48:37","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-exploitent-wordpress-mu-plugins-pour-injecter-des-images-de-sites-de-spam-et-de-detournement\/"},"modified":"2025-03-31T13:48:41","modified_gmt":"2025-03-31T15:48:41","slug":"les-pirates-exploitent-wordpress-mu-plugins-pour-injecter-des-images-de-sites-de-spam-et-de-detournement","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-exploitent-wordpress-mu-plugins-pour-injecter-des-images-de-sites-de-spam-et-de-detournement\/","title":{"rendered":"Les pirates exploitent WordPress Mu-Plugins pour injecter des images de sites de spam et de d\u00e9tournement"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">31 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Vol de donn\u00e9es \/ s\u00e9curit\u00e9 du site Web<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Les-pirates-exploitent-WordPress-Mu-Plugins-pour-injecter-des-images-de.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les acteurs de la menace utilisent le r\u00e9pertoire &#8220;mu-plagins&#8221; sur les sites WordPress pour cacher le code malveillant dans le but de maintenir un acc\u00e8s \u00e0 distance persistant et de rediriger les visiteurs du site vers des sites faux.<\/p>\n<p>Mu-Plugins, abr\u00e9g\u00e9 pour les plugins incontournables, fait r\u00e9f\u00e9rence aux plugins dans un r\u00e9pertoire sp\u00e9cial (&#8220;WP-CONTANT \/ MU-PLUGINS&#8221;) qui sont automatiquement ex\u00e9cut\u00e9s par WordPress sans avoir besoin de les activer explicitement via le tableau de bord d&#8217;administration. Cela fait \u00e9galement du r\u00e9pertoire un emplacement id\u00e9al pour mettre en sc\u00e8ne des logiciels malveillants.<\/p>\n<p>&#8220;Cette approche repr\u00e9sente une tendance pr\u00e9occupante, car les Mu-Plugins (plugins \u00e0 utiliser) ne sont pas r\u00e9pertori\u00e9s dans l&#8217;interface de plugin WordPress standard, ce qui les rend moins visibles et plus faciles \u00e0 ignorer pour les utilisateurs lors des v\u00e9rifications de s\u00e9curit\u00e9 de routine&#8221;, a d\u00e9clar\u00e9 Puja Srivastava, chercheur de Succuri, chercheur Succuri Puja Srivastava <a rel=\"noopener nofollow\" href=\"https:\/\/blog.sucuri.net\/2025\/03\/hidden-malware-strikes-again-mu-plugins-under-attack.html\" target=\"_blank\">dit<\/a> dans une analyse.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Dans les incidents analys\u00e9s par la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 du site Web, trois types diff\u00e9rents de code PHP Rogue ont \u00e9t\u00e9 d\u00e9couverts dans le r\u00e9pertoire &#8211;<\/p>\n<ul>\n<li>&#8220;WP-Content \/ Mu-Plugins \/ Redirect.php&#8221;, qui redirige les visiteurs du site vers un site Web malveillant externe<\/li>\n<li>&#8220;WP-Content \/ Mu-Plugins \/ index.php&#8221;, qui propose des fonctionnalit\u00e9s de type shell, permettant aux attaquants ex\u00e9cuter du code arbitraire en t\u00e9l\u00e9chargeant un script PHP distant <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/starkvps99812\/upd\" target=\"_blank\">h\u00e9berg\u00e9 sur github<\/a><\/li>\n<li>&#8220;WP-Content \/ Mu-Plugins \/ Custom-js-loader.php&#8221;, qui injecte un spam ind\u00e9sirable sur le site Web infect\u00e9, probablement dans l&#8217;intention de promouvoir des escroqueries ou de manipuler les classements SEO, en rempla\u00e7ant toutes les images sur le site par un contenu explicite et un d\u00e9tournement de liens sortants \u00e0 des sites malveillants<\/li>\n<\/ul>\n<p>Le &#8220;redirect.php&#8221;, a d\u00e9clar\u00e9 SUCURI, se fait passer pour une mise \u00e0 jour du navigateur Web pour tromper les victimes en installation de logiciels malveillants qui peuvent voler des donn\u00e9es ou supprimer des charges utiles suppl\u00e9mentaires.<\/p>\n<p>&#8220;Le script comprend une fonction qui identifie si le visiteur actuel est un bot&#8221;, a expliqu\u00e9 Srivastava. &#8220;Cela permet au script d&#8217;exclure des robots de recherche de moteurs de recherche et de les emp\u00eacher de d\u00e9tecter le comportement de redirection.&#8221;<\/p>\n<p>Le d\u00e9veloppement intervient alors que les acteurs de la menace sont <a rel=\"noopener nofollow\" href=\"https:\/\/blog.sucuri.net\/2025\/02\/wordpress-clickfix-malware-causes-google-warnings-and-infected-computers.html\" target=\"_blank\">continu<\/a> pour utiliser <a rel=\"noopener nofollow\" href=\"https:\/\/blog.sucuri.net\/2025\/03\/fake-cloudflare-verification-results-in-lummastealer-trojan-infections.html\" target=\"_blank\">Sites WordPress infect\u00e9s<\/a> En tant que mise en sc\u00e8ne pour inciter les visiteurs au site Web \u00e0 l&#8217;ex\u00e9cution de commandes PowerShell malveillant sur leurs ordinateurs Windows sous le couvert d&#8217;une v\u00e9rification Google Recaptcha ou CloudFlare CAPTCHA &#8211; A <a rel=\"noopener nofollow\" href=\"https:\/\/darkatlas.io\/blog\/delivering-trojans-via-clickfix-captcha\" target=\"_blank\">tactique courante<\/a> Appel\u00e9 ClickFix &#8211; et livrer le malware Lummma Stealer.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Les-pirates-exploitent-WordPress-Mu-Plugins-pour-injecter-des-images-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Les-pirates-exploitent-WordPress-Mu-Plugins-pour-injecter-des-images-de.png\" alt=\"Les pirates exploitent WordPress\" border=\"0\" data-original-height=\"701\" data-original-width=\"820\" title=\"Les pirates exploitent WordPress\"\/><\/a><\/div>\n<p>Des sites WordPress pirat\u00e9s sont \u00e9galement utilis\u00e9s pour d\u00e9ployer un javascript malveillant qui peut <a rel=\"noopener nofollow\" href=\"https:\/\/blog.sucuri.net\/2025\/03\/cascading-redirects-unmasking-a-multi-site-javascript-malware-campaign.html\" target=\"_blank\">rediriger les visiteurs<\/a> aux domaines tiers ind\u00e9sirables ou <a rel=\"noopener nofollow\" href=\"https:\/\/blog.sucuri.net\/2025\/03\/credit-card-skimmer-and-backdoor-on-wordpress-e-commerce-site.html\" target=\"_blank\">agir comme un \u00e9cumoire<\/a> pour siphon des informations financi\u00e8res saisies sur les pages de paiement.<\/p>\n<p>On ne sait actuellement pas comment les sites peuvent avoir \u00e9t\u00e9 viol\u00e9s, mais les suspects habituels sont des plugins ou des th\u00e8mes vuln\u00e9rables, des informations d&#8217;identification d&#8217;administration compromises et des erreurs de serveur.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-ai-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/VMware-Security-Flaws-exploite-dans-la-nature-BroadCom-publie.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Selon un nouveau rapport de Patchstack, les acteurs de la menace ont <a rel=\"noopener nofollow\" href=\"https:\/\/patchstack.com\/articles\/new-year-new-threats-q1-2025s-most-exploited-wordpress-vulnerabilities\/\" target=\"_blank\">exploit\u00e9 syst\u00e9matiquement<\/a> Quatre vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 diff\u00e9rentes depuis le d\u00e9but de l&#8217;ann\u00e9e &#8211;<\/p>\n<ul>\n<li>CVE-2024-27956 (score CVSS: 9.9) &#8211; Une vuln\u00e9rabilit\u00e9 arbitraire de l&#8217;ex\u00e9cution SQL non authentifi\u00e9e dans le plugin automatique WordPress &#8211; G\u00e9n\u00e9rateur de contenu AI et Plugin Affiche Auto<\/li>\n<li>CVE- 2024-25600 (CVSS Score: 10.0) &#8211; Une vuln\u00e9rabilit\u00e9 d&#8217;ex\u00e9cution du code distant non authentifi\u00e9 dans le th\u00e8me des briques<\/li>\n<li>CVE-2024-8353 (score CVSS: 10.0) &#8211; Une injection d&#8217;objets PHP non authentifi\u00e9e \u00e0 la vuln\u00e9rabilit\u00e9 d&#8217;ex\u00e9cution du code distant dans le plugin biday<\/li>\n<li>CVE-2024-4345 (score CVSS: 10.0) &#8211; Une vuln\u00e9rabilit\u00e9 de t\u00e9l\u00e9chargement de fichiers arbitraires non authentifi\u00e9s dans les addons de startklar \u00e9l\u00e9mentor pour WordPress<\/li>\n<\/ul>\n<p>Pour att\u00e9nuer les risques pos\u00e9s par ces menaces, il est essentiel que les propri\u00e9taires de sites WordPress gardent des plugins et des th\u00e8mes \u00e0 jour, audactez syst\u00e9matiquement le code pour la pr\u00e9sence de logiciels malveillants, appliquez des mots de passe solides et d\u00e9ployez un pare-feu d&#8217;application Web aux demandes malveillantes et pr\u00e9venir les injections de code.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/hackers-exploit-wordpress-mu-plugins-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80231 mars 2025\ue804Ravie LakshmananVol de donn\u00e9es \/ s\u00e9curit\u00e9 du site Web Les acteurs de la menace utilisent le r\u00e9pertoire &#8220;mu-plagins&#8221; sur les sites WordPress pour cacher le code malveillant dans le but de maintenir un acc\u00e8s \u00e0 distance persistant et de rediriger les visiteurs du site vers des sites faux. Mu-Plugins, abr\u00e9g\u00e9 pour les plugins [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1604229,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,4168,79002,274264,4161,274263,6124,133,29867,8736,2708,34830,65,274267,4160,291745,4394,185,238617,246491,4172,2783,75168,79016,4166,4164,51600],"class_list":["post-1604228","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-des","tag-detournement","tag-exploitent","tag-images","tag-injecter","tag-les","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-muplugins","tag-pirates","tag-pour","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-sites","tag-spam","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1604228","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1604228"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1604228\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1604229"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1604228"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1604228"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1604228"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}