Imaginez découvrir que votre site WordPress a été piraté pendant la nuit. Vos données sont volées et des plugins malveillants s’installent à votre insu. En octobre 2025, c’est exactement ce qui s’est produit pour des milliers de propriétaires de sites. Par conséquent, ils sont devenus victimes d’une campagne massive ciblant deux plugins populaires. Entre le 8 et le 9 octobre, 8,7 millions de tentatives d’attaques ont été enregistrées.
Les plugins GutenKit et Hunk Companion au cœur d’une cyberattaque massive
Les experts de la Wordfence Threat Response Unit ont identifié une exploitation intensive de vulnérabilités critiques. Deux extensions WordPress très utilisées sont concernées : GutenKit et Hunk Companion. En effet, ces plugins cumulent près de 50 000 installations actives à travers le monde. Par conséquent, ils représentent des cibles particulièrement attractives pour les cybercriminels.
La particularité alarmante de cette campagne réside dans un fait troublant. Les failles exploitées ont été découvertes et corrigées fin 2024. Pourtant, près d’un an plus tard, les pirates informatiques lancent une offensive d’envergure. Ils ciblent les administrateurs qui ont négligé d’installer les correctifs de sécurité. Cette situation démontre donc qu’une vulnérabilité corrigée reste dangereuse.
L’ampleur des attaques bloquées
Selon les données de Wordfence, leur pare-feu a bloqué plus de 8,7 millions de tentatives d’exploitation. Cela s’est produit durant les deux premiers jours de l’attaque intensive. Cette statistique témoigne ainsi de l’ampleur exceptionnelle de cette campagne. Les chercheurs la qualifient d’exploitation massive.
Comment fonctionnent ces cyberattaques par API REST
Pour comprendre la gravité de cette menace, il faut d’abord saisir le mécanisme d’exploitation. Les deux plugins vulnérables exposent une API REST. Cet outil technique permet d’envoyer des commandes à un site WordPress via Internet. En temps normal, cet accès devrait être strictement réservé aux administrateurs. Malheureusement, ce n’est pas toujours le cas.
Le problème réside dans une mauvaise configuration de ces API REST. Concrètement, le paramètre permission_callback était défini sur __return_true. Cela signifie que l’API ne vérifie pas les autorisations nécessaires. Cette faille permet donc à n’importe quel attaquant non authentifié d’envoyer des commandes au site.
Le processus d’infection automatisé
Les cybercriminels exploitent cette vulnérabilité de manière automatisée. Ils envoient des commandes contenant l’URL d’un plugin infecté directement aux sites vulnérables. Ensuite, le serveur WordPress télécharge automatiquement le plugin malveillant. Il l’installe et l’active sans aucun contrôle d’authenticité.
Une fois installé, ce plugin comporte une porte dérobée. Elle permet aux pirates d’exécuter des commandes arbitraires sur le serveur. Ils peuvent alors installer d’autres logiciels malveillants. De plus, ils modifient le contenu du site à volonté. Certains pirates détournent même des paiements vers des comptes frauduleux.
Les vulnérabilités spécifiques de GutenKit et Hunk Companion
Les chercheurs de Wordfence ont identifié précisément les failles exploitées. Pour GutenKit, le plugin compte plus de 40 000 installations actives. Trois vulnérabilités CVE distinctes ont été découvertes entre septembre et octobre 2024. Toutes permettent une installation arbitraire de plugins. Elles offrent ainsi un accès complet au système sans authentification préalable.
Scores de criticité maximale
Concernant Hunk Companion, il totalise environ 8 000 installations. La vulnérabilité identifiée présente les mêmes caractéristiques critiques. L’exploitation de l’endpoint REST themehunk-import permet aux attaquants d’installer des plugins de leur choix. Le score CVSS de ces vulnérabilités atteint 9.8 sur 10. Cela indique donc un niveau de criticité maximal.
Un délai d’exploitation inquiétant
Ce qui rend ces attaques particulièrement préoccupantes, c’est le délai important entre divulgation et exploitation. Les correctifs étaient disponibles depuis près d’un an. C’est alors que les pirates ont lancé leur offensive en octobre 2025. Cette situation prouve que les cybercriminels surveillent activement les bases de données de vulnérabilités.
Les mesures urgentes pour protéger votre site WordPress
Face à cette menace active, les experts en sécurité WordPress recommandent plusieurs actions immédiates. La priorité absolue consiste à mettre à jour les plugins concernés. Pour GutenKit, vous devez installer au minimum la version 2.1.1. Pour Hunk Companion, la version 1.9.0 ou ultérieure doit être déployée sans délai.
Vérifications essentielles de votre installation
Au-delà de la mise à jour, une vérification approfondie s’impose. Examinez attentivement la liste des plugins installés. Vous devez détecter d’éventuelles extensions inconnues ou suspectes. Consultez également l’historique des actions administratives. Cela permet d’identifier des commandes inhabituelles qui pourraient indiquer une compromission.
Sécuriser les points d’entrée de l’API REST
Pour renforcer durablement la sécurité, il est crucial de restreindre l’accès aux endpoints. Ces points d’entrée ne doivent être accessibles qu’aux utilisateurs authentifiés. Plusieurs plugins de sécurité permettent de configurer ces restrictions. Notamment en utilisant des jetons d’authentification. Vous pouvez également désactiver les routes inutilisées de l’API.
L’installation d’un pare-feu applicatif web constitue une protection essentielle. Des solutions comme Wordfence Security offrent une surveillance active en continu. Elles détectent et bloquent automatiquement les tentatives d’exploitation. Le pare-feu analyse le trafic en temps réel. Il applique ensuite des règles de sécurité efficaces.
WordPress et les plugins vulnérables : un problème récurrent
Cette campagne d’attaques massives s’inscrit malheureusement dans une tendance inquiétante. L’écosystème WordPress subit cette pression depuis plusieurs années. En 2024, pas moins de 8 223 nouvelles vulnérabilités ont été publiées. Cela représente environ 22 failles découvertes chaque jour. Cette augmentation constante témoigne de l’attention soutenue des cybercriminels.
La répartition révélatrice des vulnérabilités
La répartition des vulnérabilités est particulièrement révélatrice. Environ 96% des failles de sécurité proviennent des plugins tiers. En revanche, seulement 4% concernent les thèmes WordPress. Le cœur de WordPress représente qu’une infime partie des vulnérabilités. Seulement 7 failles ont été identifiées dans le système principal. Ces statistiques démontrent que l’écosystème des extensions constitue le maillon faible.
Des exemples historiques préoccupants
Les exemples d’exploitations massives ne manquent pas. Le virus DollyWay a compromis plus de 20 000 sites entre 2016 et 2025. Ces plateformes piratées servaient ensuite à rediriger les internautes vers des sites d’escroquerie. En 2024, une faille dans le plugin Really Simple Security a rendu vulnérables plus de 4 millions de sites. Une autre brèche affectant Popup Builder a permis aux pirates de cibler plus de 3 000 installations.
L’ampleur de la menace en 2025 : des chiffres alarmants
WordPress alimente aujourd’hui 43,3% de tous les sites Internet dans le monde. Cela représente plus de 563 millions de sites web. Cette domination fait naturellement de WordPress une cible privilégiée. Chaque minute, ce sont 90 000 attaques qui ciblent des sites WordPress. Cette statistique vertigineuse illustre la pression constante subie par cette plateforme.
L’explosion des attaques automatisées
Les attaques automatisées exploitant l’écosystème WordPress ont littéralement explosé. Les bots malveillants, désormais dopés à l’intelligence artificielle, scannent en continu l’ensemble du web. Ils identifient les sites vulnérables en temps réel. Dès qu’une nouvelle faille est divulguée publiquement, ces systèmes automatisés tentent de l’exploiter dans les heures qui suivent.
Les conséquences réelles pour les entreprises
Au-delà des statistiques, les conséquences concrètes sont dramatiques. Des sites e-commerce ont vu leurs systèmes de paiement détournés vers des comptes bancaires frauduleux. Cela cause des pertes financières directes. D’autres ont découvert que leur site avait été dupliqué pour mener des campagnes d’hameçonnage. Les pirates utilisaient leur nom de marque pour escroquer leurs propres clients.
La remise en état d’un site piraté représente un coût considérable. Sans sauvegardes régulières, la récupération des données peut s’avérer impossible. Même avec des backups disponibles, la restauration nécessite plusieurs heures de travail technique. Durant cette période, le site reste inaccessible. Rien ne garantit que toutes les portes dérobées aient été supprimées.
Les bonnes pratiques de sécurité WordPress en 2025
Pour protéger efficacement votre site WordPress, l’adoption de bonnes pratiques s’impose. La première règle fondamentale consiste à maintenir WordPress à jour. Tous les plugins et thèmes doivent également être constamment mis à jour. Les développeurs publient régulièrement des correctifs de sécurité. Ils doivent être appliqués dès leur disponibilité.
Mots de passe robustes et authentification
L’utilisation de mots de passe robustes constitue un autre pilier de la sécurité. Chaque compte utilisateur WordPress doit disposer d’un identifiant unique. Celui-ci doit être composé de symboles alphanumériques mêlant minuscules et majuscules. Ajoutez également des caractères spéciaux. La limitation du nombre de tentatives de connexion permet de contrer efficacement les attaques par force brute.
La sécurisation technique de votre installation
Au niveau technique, plusieurs mesures essentielles renforcent la sécurité. L’activation du protocole HTTPS avec un certificat SSL garantit le chiffrement des données. La configuration correcte des permissions de fichiers prévient les modifications non autorisées. Les fichiers doivent être configurés en 644. Les répertoires doivent être en 755.
La désactivation de l’édition directe des fichiers élimine un vecteur d’attaque potentiel. Cette restriction se configure simplement. Ajoutez la directive define(‘DISALLOW_FILE_EDIT’, true); dans votre fichier wp-config.php. De même, supprimez le compte administrateur par défaut nommé « admin ». Cet identifiant constitue la première cible testée lors des attaques automatisées.
Les outils de protection indispensables
L’installation d’un plugin de sécurité complet représente un investissement essentiel. Wordfence Security s’impose comme la référence du marché. Il compte plus de 4 millions d’utilisateurs actifs. Ce plugin intègre un pare-feu applicatif web. Il inclut également un scanner de logiciels malveillants et une surveillance en temps réel.
Le fonctionnement du pare-feu Wordfence
Le pare-feu de Wordfence fonctionne à deux niveaux de protection. Le niveau de base s’active avec les autres plugins WordPress. Il offre une protection contre les menaces courantes. Le niveau de protection étendue permet à Wordfence de s’exécuter avant le chargement du cœur de WordPress. Il bloque ainsi les attaques les plus sophistiquées.
Les solutions alternatives de sécurisation
D’autres plugins de sécurité méritent également l’attention. iThemes Security offre une approche complémentaire. Il se concentre particulièrement sur le durcissement de la configuration WordPress. WP Cerber Security excelle dans la protection contre les failles connues. Pour la limitation des tentatives de connexion, Limit Login Attempts Reloaded constitue une solution efficace et légère.
L’intégration de CAPTCHA avancés représente une défense supplémentaire. Google reCAPTCHA v3 analyse le comportement des visiteurs sans perturber l’expérience utilisateur. Des solutions comme DataDome offrent une protection renforcée contre les attaques automatisées. Ces systèmes protègent vos formulaires de contact, de connexion et de commentaires.
La maintenance préventive : votre meilleure protection
Les statistiques démontrent sans équivoque l’efficacité de la maintenance préventive. Les sites WordPress bénéficiant d’une maintenance régulière ne connaissent pratiquement aucune intrusion réussie. À l’inverse, les sites non maintenus subissent des attaques dévastatrices. Ils font face au détournement de paiements ou à la duplication malveillante.
Les composantes d’une maintenance efficace
Une maintenance WordPress efficace inclut plusieurs composantes essentielles. Les sauvegardes automatiques régulières garantissent la possibilité de restaurer votre site. La surveillance des logs permet de détecter rapidement des activités suspectes. La revue périodique des comptes utilisateurs assure que seules les personnes autorisées conservent un accès. N’oubliez pas de supprimer les comptes d’anciens collaborateurs.
L’approche Zero Trust en 2025
L’évolution des menaces en 2025 impose l’adoption d’une approche Zero Trust. Cette philosophie consiste à vérifier systématiquement chaque requête. L’origine de la requête n’a pas d’importance. Cette philosophie de sécurité s’intègre pratiquement via des services comme Cloudflare. Vous pouvez limiter l’accès géographique à votre site. Vous bloquez également les adresses IP suspectes.
L’ajustement précis des rôles et permissions dans WordPress constitue un autre pilier. Chaque utilisateur ne doit disposer que des droits strictement nécessaires. Un rédacteur n’a pas besoin d’accéder aux paramètres du site. Un développeur peut nécessiter des permissions étendues mais temporaires. Cette granularité réduit drastiquement les risques.
Que faire si votre site a été compromis
Si vous suspectez que votre site WordPress a été piraté, une réaction rapide s’impose. Commencez par isoler le site en le mettant hors ligne. Vous pouvez également activer le mode maintenance. Changez immédiatement tous les mots de passe associés au site. Incluez les accès WordPress, FTP, base de données et hébergement. Utilisez exclusivement des mots de passe forts et uniques.
Analyse et nettoyage complet
Lancez ensuite une analyse complète avec un scanner de sécurité. Vous devez identifier tous les fichiers malveillants, les backdoors et les modifications suspectes. Les plugins comme Wordfence intègrent des outils de scan performants. Ils comparent vos fichiers WordPress avec les versions officielles. Examinez particulièrement les répertoires wp-content/plugins et wp-content/themes. Les codes malveillants se nichent fréquemment à ces endroits.
Une fois les menaces identifiées et supprimées, restaurez votre site. Utilisez une sauvegarde saine antérieure à la compromission si possible. Assurez-vous de mettre à jour tous les composants vers leurs dernières versions. Faites-le avant de remettre le site en ligne. Enfin, renforcez votre posture de sécurité. Implémentez les bonnes pratiques que vous aviez peut-être négligées.
L’importance croissante de la sécurité WordPress
L’année 2025 marque un tournant dans la perception de la sécurité WordPress. Ce qui était autrefois considéré comme une précaution optionnelle est devenu une nécessité absolue. Les cybercriminels professionnalisent leurs opérations. Ils utilisent l’intelligence artificielle pour automatiser et optimiser leurs attaques. L’échelle de ces attaques n’a jamais été vue auparavant.
Les enjeux dépassent la protection technique
Les enjeux dépassent largement la simple protection technique d’un site web. Une compromission affecte directement la confiance de vos clients. Votre réputation en ligne est également impactée. La conformité réglementaire est mise en péril, notamment avec le RGPD. Les données personnelles volées peuvent entraîner des sanctions financières importantes. Des poursuites judiciaires peuvent également survenir.
Anticiper plutôt que réagir
La campagne d’exploitation massive ciblant GutenKit et Hunk Companion illustre parfaitement pourquoi l’anticipation prime. Les correctifs étaient disponibles depuis un an lorsque les attaquants ont frappé. Les sites qui avaient proactivement appliqué les mises à jour sont restés protégés. Les autres ont subi de plein fouet cette offensive. Elle représentait 8,7 millions de tentatives d’intrusion en seulement deux jours.
Investir dans la sécurité WordPress représente un coût infiniment inférieur aux pertes potentielles. Entre la remise en état technique et les pertes de chiffre d’affaires, le préjudice peut rapidement atteindre des dizaines de milliers d’euros. L’atteinte réputationnelle s’ajoute à ces coûts. Les éventuelles sanctions réglementaires aggravent la situation. Une maintenance préventive coûte une fraction de ce montant. Elle offre également une tranquillité d’esprit inestimable.
La sécurité de votre site WordPress n’est plus une option. C’est une responsabilité fondamentale envers vos utilisateurs, vos clients et votre entreprise. Face à l’intensification des menaces et à la sophistication croissante des attaques automatisées, seule une approche proactive peut garantir la pérennité. Cette approche combine mises à jour rigoureuses, outils de protection performants et surveillance continue. Que pensez-vous de cette évolution de la cybersécurité ? Votre site WordPress bénéficie-t-il d’une protection adéquate face à ces nouvelles menaces ?
FAQ - Foire Aux Questions
GutenKit et Hunk Companion sont deux extensions (plugins) populaires pour WordPress. GutenKit est un constructeur de pages pour l’éditeur Gutenberg comptant plus de 40 000 installations actives, tandis que Hunk Companion accompagne les thèmes ThemeHunk avec environ 8 000 installations. Ces deux plugins ont été ciblés par une campagne massive de cyberattaques en octobre 2025 en raison de vulnérabilités critiques permettant l’installation de plugins malveillants à distance.
Votre site est vulnérable si vous utilisez GutenKit en version 2.1.0 ou antérieure, ou Hunk Companion en version 1.8.5 ou antérieure. Pour vérifier, connectez-vous à votre tableau de bord WordPress, allez dans « Extensions » puis « Extensions installées » et consultez les numéros de version. Recherchez également dans vos logs d’accès les requêtes suspectes vers /wp-json/gutenkit/v1/install-active-plugin ou /wp-json/hc/v1/themehunk-import.
Pour GutenKit, vous devez installer au minimum la version 2.1.1, sortie en octobre 2024. Pour Hunk Companion, la version 1.9.0 ou ultérieure, publiée en décembre 2024, corrige les failles de sécurité. Ces mises à jour éliminent les vulnérabilités CVE-2024-9234, CVE-2024-9707 et CVE-2024-11972 qui permettaient l’installation arbitraire de plugins sans authentification.
Les attaquants profitent d’une mauvaise configuration de l’API REST où le paramètre permission_callback est défini sur __return_true, permettant à n’importe qui d’envoyer des commandes sans authentification. Ils transmettent ensuite l’URL d’un plugin malveillant hébergé sur GitHub (généralement un fichier ZIP nommé « up »), que WordPress télécharge et active automatiquement. Ce plugin contient des backdoors permettant de prendre le contrôle total du site.
Une fois le plugin compromis actif, l’attaquant dispose d’un accès administrateur complet au site. Il peut voler des données sensibles incluant informations clients et identifiants, installer d’autres malwares, modifier le contenu du site, détourner les paiements vers des comptes frauduleux, créer des duplicatas pour mener des campagnes d’hameçonnage, ou effacer complètement le contenu du site. Le propriétaire reste souvent inconscient de l’intrusion pendant des semaines.
Le pare-feu Wordfence a bloqué plus de 8,7 millions de tentatives d’exploitation durant les deux premiers jours de l’offensive massive, les 8 et 9 octobre 2025. Cette statistique exceptionnelle témoigne de l’ampleur sans précédent de cette campagne. Les attaques se sont intensifiées près d’un an après la divulgation initiale des vulnérabilités, ciblant spécifiquement les administrateurs ayant négligé d’installer les correctifs de sécurité disponibles.
La protection commence par la mise à jour immédiate vers GutenKit 2.1.1+ et Hunk Companion 1.9.0+. Vérifiez ensuite la liste des plugins installés pour détecter des extensions inconnues. Examinez l’historique des commandes administratives pour identifier des activités suspectes. Bloquez les endpoints de l’API REST pour qu’ils ne soient accessibles qu’aux utilisateurs authentifiés. Installez un pare-feu applicatif comme Wordfence Security pour bloquer automatiquement les tentatives d’exploitation et surveillez les répertoires /up, /background-image-cropper et /wp-query-console.
Recherchez dans vos logs d’accès les requêtes vers /wp-json/gutenkit/v1/install-active-plugin et /wp-json/hc/v1/themehunk-import. Vérifiez la présence de répertoires suspects comme /up, /background-image-cropper, /ultra-seo-processor-wp, /oke et /wp-query-console. Examinez vos plugins installés pour détecter des extensions non reconnues, particulièrement celles se faisant passer pour « All in One SEO » ou « wp-query-console ». Des modifications non autorisées dans les fichiers, comptes administrateurs inconnus ou ralentissements inexpliqués constituent également des signaux d’alarme.
Les cybercriminels savent que de nombreux administrateurs négligent les mises à jour de sécurité. Bien que les correctifs soient disponibles depuis octobre et décembre 2024, des milliers de sites continuent d’utiliser les versions vulnérables. Les pirates scannent automatiquement le web pour identifier ces installations obsolètes et les exploitent massivement. Cette situation démontre qu’une vulnérabilité corrigée reste une porte ouverte tant que les mises à jour ne sont pas appliquées, d’où l’importance cruciale de la maintenance préventive.
Oui, statistiquement environ 96% des vulnérabilités découvertes dans l’écosystème WordPress proviennent des plugins tiers, tandis que seulement 4% concernent les thèmes. Le cœur de WordPress lui-même ne représente qu’une infime partie avec seulement 7 failles identifiées dans le système principal. En 2024, pas moins de 8 223 nouvelles vulnérabilités ont été publiées dans la base de données Wordfence, soit environ 22 failles découvertes chaque jour, confirmant que les extensions constituent le maillon faible de la sécurité WordPress.
Mettez immédiatement votre site hors ligne ou en mode maintenance pour limiter les dégâts. Changez tous les mots de passe associés (WordPress, FTP, base de données, hébergement) avec des combinaisons fortes et uniques. Lancez une analyse complète avec un scanner de sécurité comme Wordfence pour identifier les fichiers malveillants et backdoors. Examinez particulièrement les répertoires wp-content/plugins et wp-content/themes. Restaurez à partir d’une sauvegarde saine antérieure à la compromission si possible, mettez à jour tous les composants, puis renforcez votre posture de sécurité avant de remettre le site en ligne.
Wordfence Security s’impose comme la référence avec plus de 4 millions d’utilisateurs actifs et 30 000 téléchargements quotidiens. Ce plugin tout-en-un intègre un pare-feu applicatif web, un scanner de logiciels malveillants et une surveillance en temps réel des menaces. Le pare-feu fonctionne à deux niveaux : basique avec les autres plugins, et protection étendue s’exécutant avant le chargement du cœur WordPress pour bloquer les attaques sophistiquées. D’autres alternatives incluent iThemes Security, WP Cerber Security et Limit Login Attempts Reloaded selon vos besoins spécifiques.
Les mises à jour mineures de sécurité devraient être appliquées automatiquement dès leur disponibilité. Pour les mises à jour majeures, vérifiez au minimum hebdomadairement les nouvelles versions disponibles. Idéalement, configurez des sauvegardes automatiques quotidiennes et activez les mises à jour automatiques pour les correctifs de sécurité. La maintenance préventive régulière avec mise à jour rigoureuse et pare-feu applicatif réduit pratiquement à zéro les intrusions réussies, tandis que les sites non maintenus subissent des attaques dévastatrices pouvant compromettre totalement leur intégrité.
