Alerte cyberattaque : un faux plugin anti-malware sème la pagaille sur WordPress, comment le repérer ?

C’est en nettoyant un site WordPress compromis, en janvier dernier, que les analystes de Wordfence sont tombés sur un fichier suspect : WP-antymalwary-bot.php. Le code était propre, bien indenté, et le plugin ressemblait à un outil de sécurité tout à fait ordinaire. À première vue, rien d’alarmant. Pourtant, il s’agissait d’un malware capable de disparaître du tableau de bord, d’injecter du code malveillant, de communiquer avec un serveur distant, et surtout, de permettre aux attaquants de retrouver un accès administrateur à tout moment via une requête HTTP, même après suppression du plugin. L’analyse publiée fin avril montre que cette campagne est toujours active, soutenue par plusieurs variantes en circulation. Et qu’un nettoyage partiel ne suffit pas à l’éliminer durablement.