Un incident de sécurité a récemment frappé l’écosystème WordPress. Un individu a racheté une trentaine de plugins populaires via la plateforme Flippa, puis y a introduit une porte dérobée (backdoor) discrète. Cette dernière est restée inactive pendant plusieurs mois avant d’être activée en avril 2026. Le but ? Injecter du spam SEO invisible pour les visiteurs humains, mais visible par Google, afin de booster artificiellement le référencement de certains sites.
Ces plugins, issus du portfolio « Essential Plugin », étaient utilisés sur des milliers de sites web. Après l’achat, le nouveau propriétaire a pu mettre à jour directement les extensions sur le répertoire officiel de WordPress.org. La backdoor, de type désérialisation PHP, permettait un contrôle à distance sans alerter immédiatement les administrateurs. WordPress.org a réagi rapidement en supprimant définitivement une grande partie de ces extensions du dépôt officiel.
Ce type d’attaque, appelée « supply chain attack », est particulièrement sournois. Au lieu de pirater chaque site un par un, le malfaiteur s’en prend aux outils eux-mêmes, touchant ainsi tous les utilisateurs en même temps. C’est un rappel important : même les plugins les plus installés peuvent devenir dangereux après un changement de propriétaire.
Que faire si vous utilisez WordPress ?
Vérifiez immédiatement la liste des plugins installés et supprimez ceux qui appartiennent à « Essential Plugin » ou qui ont été signalés. Mettez à jour tout le reste, utilisez uniquement des extensions provenant de sources fiables et activez un système de sécurité (comme Wordfence ou Sucuri). Les experts recommandent aussi de faire des sauvegardes régulières et de surveiller les mises à jour suspectes.
Cette affaire montre les risques du marché des plugins d’occasion. Elle pousse la communauté à être plus vigilante sur la provenance et la maintenance des outils que nous installons quotidiennement sur nos sites.
 discrète.){kind=link}