Détecter un plugin WordPress malveillant : signes et méthodes d'analyse
Un plugin malveillant peut transformer votre site en zombie silencieux. Apprenez à identifier les plugins suspects, analyser leur code et réagir avant les dégâts.
Tous les plugins WordPress ne sont pas ce qu'ils prétendent être. Des plugins légitimes en apparence peuvent contenir du code malveillant caché, soit dès leur création (nulled plugins), soit après avoir été compromis suite au piratage du compte développeur. Savoir identifier un plugin suspect vous évite une infection que vous n'auriez jamais vu venir.
Les types de plugins malveillants
Les plugins "nulled" (piratés)
Les plugins premium "nulled" sont des copies illégales de plugins payants distribuées gratuitement sur des sites tiers. En échange du prix évité, vous récupérez :
- Du code malveillant ajouté par le distributeur
- Des backdoors permettant l'accès futur à votre site
- L'absence de mises à jour de sécurité
- Potentiellement un malware qui s'installe silencieusement
Règle absolue : N'installez jamais de plugin premium "gratuit" depuis des sources non officielles. Si un plugin coûte 50€ et qu'il est "gratuit" sur un site tiers, vous payez avec votre sécurité.
Les plugins légitimes compromis
Des plugins authentiques peuvent être infectés si le compte du développeur est compromis. L'attaquant publie une mise à jour malveillante qui s'installe automatiquement sur des millions de sites.
Les plugins abandonnés avec failles non corrigées
Un plugin non maintenu depuis plus de 2 ans avec une vulnérabilité connue est aussi dangereux qu'un plugin délibérément malveillant.
Signaux d'alerte d'un plugin suspect
Avant installation
- Source non officielle (hors wordpress.org ou site officiel du développeur)
- Note inférieure à 4/5 avec des avis mentionnant des comportements étranges
- Dernière mise à jour il y a plus de 2 ans
- Moins de 1 000 installations actives pour un plugin méconnu
- Demande de permissions excessives non justifiées par sa fonction
Après installation
- Ralentissement brutal du site → Le plugin exécute du code parasite en arrière-plan
- Apparition de code inconnu dans le code source des pages
- Nouveaux utilisateurs administrateurs créés sans votre intervention
- Alertes Wordfence sur des modifications de fichiers inhabituelles
- Trafic sortant anormal vers des IPs inconnues dans vos logs
Analyse technique du code d'un plugin
Patterns de code suspects à rechercher
``bash
# Dans le répertoire du plugin suspect
grep -r "eval(" wp-content/plugins/nom-plugin/
grep -r "base64_decode" wp-content/plugins/nom-plugin/
grep -r "gzuncompress\|gzdeflate\|str_rot13" wp-content/plugins/nom-plugin/
grep -r "system(\|exec(\|passthru(\|shell_exec(" wp-content/plugins/nom-plugin/
``
Ces fonctions ne sont pas automatiquement malveillantes, mais leur présence justifie une inspection approfondie. Un plugin de cache légitime peut utiliser eval() pour de bonnes raisons.
Comparer avec la version officielle
Si le plugin existe sur wordpress.org, téléchargez la version officielle et comparez :
``bash
# Linux/Mac - comparer deux répertoires
diff -r ~/Downloads/plugin-officiel wp-content/plugins/plugin-installe/
``
Toute différence dans les fichiers PHP mérite investigation.
Utiliser Wordfence Scan
Wordfence compare vos fichiers de plugins avec les versions officielles stockées dans son cloud. Toute modification non officielle est signalée avec le diff exact du code modifié.
Procédure de suppression d'un plugin malveillant
Ne pas juste désactiver — supprimer complètement
La désactivation d'un plugin laisse ses fichiers sur le serveur. Un plugin malveillant peut :
- Continuer à s'exécuter via des hooks PHP chargés en dehors du cycle WordPress
- Réactiver ses backdoors lors du prochain scan automatique
- Laisser des fichiers PHP autonomes dans son répertoire
Procédure correcte :
- Désactivez le plugin dans l'interface WordPress
- Supprimez-le via l'interface (Plugins → Supprimer)
- Vérifiez manuellement que le répertoire est bien supprimé dans
wp-content/plugins/ - Vérifiez si des fichiers ont été créés ailleurs par ce plugin
Après la suppression
Le plugin peut avoir installé des backdoors dans d'autres fichiers que son propre répertoire. Après suppression :
- Lancez un scan Wordfence complet
- Vérifiez les fichiers modifiés récemment :
find /var/www -newer /var/www/wp-config.php -name "*.php" - Changez tous les mots de passe admin et FTP
- Vérifiez les utilisateurs WordPress créés
Consultez notre guide complet de nettoyage WordPress si vous trouvez des signes d'infection plus profonde.
Articles connexes : Plugins les plus ciblés en 2026 | Sécuriser WordPress | Nettoyer un WordPress infecté