- Un pirate a racheté 31 plugins WordPress actifs via Flippa, injecté une backdoor dormante pendant 8 mois, puis l’a activée en avril 2026 pour afficher du spam SEO invisible aux humains.
- La backdoor utilise un smart contract Ethereum comme serveur de commande (C2), rendant inutile le blocage des noms de domaine classiques et permettant à l’attaquant de changer de serveur à volonté.
- La mise à jour officielle de WordPress.org ne nettoie pas le vrai point de persistance (wp-config.php), obligeant les admins à supprimer manuellement le code malveillant de 6 Ko injecté dans les fichiers système.
Sur le même sujet: https://siecledigital.fr/2026/04/17/wordpress-des-milliers-de-sites-exposes-apres-le-piratage-de-plugins-populaires/