Des chercheurs en cybersécurité ont découvert qu’une attaque visant l’infrastructure d’Awesome Motive pourrait avoir exposé de nombreux sites WordPress utilisant certaines de ses extensions populaires, dont OptinMonster, TrustPulse et PushEngage.

Cette technique, appelée attaque de la chaîne d’approvisionnement, permet aux pirates d’infecter plusieurs sites simultanément en compromettant un fournisseur de confiance plutôt qu’en attaquant chaque site individuellement.

Selon les analyses publiées par Sansec et relayées par plusieurs médias spécialisés, le code malveillant permettait notamment :

• La création de comptes administrateurs cachés ;
• L’installation de portes dérobées (backdoors) ;
• La prise de contrôle à distance de sites WordPress ;
• L’exécution de commandes malveillantes à l’insu des propriétaires.

Plusieurs rapports de sécurité indiquent également que l’infrastructure compromise pourrait avoir affecté d’autres produits utilisant les mêmes ressources externes ou bibliothèques partagées. Par mesure de prudence, les administrateurs de sites utilisant des solutions de l’écosystème Awesome Motive devraient vérifier l’ensemble de leurs extensions et surveiller les communications officielles des éditeurs concernés.

Parmi les produits d’Awesome Motive qui méritent une vérification préventive, on retrouve notamment :

• WPForms
• MonsterInsights
• WP Mail SMTP
• SeedProd
• AIOSEO
• UserFeedback
• Pretty Links
• RafflePress
• SearchWP
• AffiliateWP

Important : à l’heure actuelle, ces derniers produits n’ont pas tous été confirmés comme compromis. Ils sont simplement associés au même écosystème logiciel et méritent une vérification de sécurité supplémentaire jusqu’à ce que les enquêtes soient terminées. Les administrateurs devraient suivre les avis officiels publiés par les éditeurs et les chercheurs en sécurité.

Références : https://securityaffairs.com/193616/malware/supply-chain-attack-hits-popular-wordpress-plugins-through-awesome-motive-cdn.html et https://thehackernews.com/2026/06/popular-wordpress-plugin-scripts.html

Pourquoi ce type d’attaque est-il dangereux?

Les cybercriminels utilisent fréquemment les serveurs compromis pour envoyer du spam, héberger des logiciels malveillants, effectuer du minage de cryptomonnaies ou participer à des attaques distribuées de type DDoS (Distributed Denial of Service).

Dans un environnement d’hébergement partagé, un seul site infecté peut rapidement consommer une quantité excessive de ressources processeur, mémoire ou bande passante. Le résultat est souvent visible rapidement :

• Sites web extrêmement lents ;
• Erreurs 500 ou 503 ;
• Blocages temporaires du serveur ;
• Suspension du compte d’hébergement par le fournisseur ;
• Dégradation des performances de tous les autres sites hébergés sur le même serveur.

Les attaques DDoS sont particulièrement problématiques. Elles consistent à utiliser des milliers de systèmes compromis pour générer un volume massif de trafic vers une cible. Un site WordPress infecté peut ainsi devenir, sans que son propriétaire le sache, un participant à une attaque visant une autre entreprise ou organisation.

Que faire si votre site WordPress est compromis?

Si vous soupçonnez qu’un script malveillant ou un pirate a compromis votre site, il est important d’agir rapidement.

1. Contacter votre hébergeur et contactez-nous : support@zaa.cc

2. Restaurer une sauvegarde saine

Votre hébergeur peut restaurer votre site à une date antérieure. Comme il est difficile de déterminer la porte d’entrée d’un malware ou d’un script, si l’infection est importante, la méthode la plus rapide et sécuritaire consiste souvent à restaurer une sauvegarde datant d’avant la compromission.

3. Changer tous les mots de passe

Avec notre aide, modifiez immédiatement :

• Les comptes WordPress ;
• Le compte FTP/SFTP ;
• L’hébergement ;
• Le cPanel de votre site ;
• La base de données ;
• Les comptes courriel associés ;
• Les clés API utilisées par le site.

Rappel pour les mots de passe:

Choisissez un mot de passe unique, de 16 à 24 caractères alpha-décimales aléatoires, avec caractères spéciaux pour chaque site, ordinateur, compte, etc. C’est ici que le gestionnaire de mot de passe va vous faciliter la vie! Utilisez un gestionnaire de mot de passe, tel que LastPass, 1Password, BitWarden ou Google Mot de passe pour vos identifiants personnels et ceux de votre organisation. Pour partager vos mots de passe, certains gestionnaires vous permette de partager les mots de passe. Vous pouvez aussi utiliser un service comme Password Pusher. Dans tous les cas ne mettez jamais les mots de passe de vos entreprises dans les Drives (Google, iCloud, DropBox, SharePoint, etc.).

4. Supprimer les portes dérobées

Demander à votre hébergeur de scanner votre site. Même après avoir supprimé le logiciel malveillant visible, les pirates laissent souvent des accès cachés permettant de revenir plus tard. Une inspection complète des fichiers par votre hébergeur est généralement nécessaire pour s’assurer qu’aucune porte dérobée ne subsiste.

5. Mettre à jour WordPress, les thèmes et les plugins

Installez les versions les plus récentes de tous les composants du site et supprimez les extensions inutilisées.

6. Renforcer la sécurité

Parmi les bonnes pratiques recommandées :

• Activer l’authentification multifactorielle (MFA) ;
• Limiter les accès administrateurs ;
• Désactiver les comptes inutilisés ;
• Installer un pare-feu applicatif (WAF) ;
• Effectuer des sauvegardes automatisées ;
• Réaliser des audits de sécurité périodiques.

Conclusion

L’attaque récente visant OptinMonster, TrustPulse et PushEngage démontre une fois de plus que même les solutions les plus populaires peuvent devenir un vecteur d’infection lorsqu’elles sont ciblées par une attaque de la chaîne d’approvisionnement.

Pour les entreprises, la meilleure défense demeure une combinaison de mises à jour rigoureuses, de sauvegardes fréquentes, d’une surveillance active et d’un plan de réponse aux incidents. Plus une compromission est détectée rapidement, moins les impacts financiers, opérationnels et réputationnels seront importants.