La société de sécurité Sucuri a découvert l'existence d'une backdoor dans un plugin WordPress apparemment propre sur lui.

Il s'agit du plugin CCTM, pour Custom Content Type Manager. C'est en faisant le nettoyage d'un site compromis que la société a repéré dans le plugin un très suspect fichier auto-update.php, dont il s'est avéré que son rôle était de télécharger des fichiers PHP depuis un serveur et les déposer sur le site compromis.

Le fichier auto-update.php a lui-même l'allure d'un de ces fichiers qui sont uploadés dans un site par les cybercriminels lorsqu'ils exploitent une faille de sécurité. Cependant Sucuri a pris le soin de vérifier le plugin CCTM lui-même, et a eu la surprise de l'y trouver.

Selon Sucuri, le développeur original de CCTM a abandonné ce plugin qui a été repris par un hacker à priori situé en Inde, et qui l'a customisé à sa façon. En plus de ce fichier ajouté, d'autres ont été modifiés, le fichier CCTM_Communicator.php notamment (cf. le billet de Sucuri mentionné plus haut), afin de voler des mots de passe.

De quoi inciter à réfléchir à deux fois avec d'installer un plugin. En effet CCTM était sur la plate-forme de WordPress. Il revendiquait plus de 10 000 téléchargements et il était bien noté !

Le contenu du fichier auto-update.php