Sécurité Phishing Malware Par Yohann LE DU Publié le 10 mai 2026 12 min de lecture

ClickFix : quand votre site WordPress piraté devient complice d'une campagne de phishing mondiale

Dans notre article sur les arnaques aux faux emails SSL, on mentionnait en passant que les pages de phishing sont souvent hébergées sur des sites WordPress piratés à l'insu de leurs propriétaires. ClickFix en est l'illustration la plus nette du moment : plus de 250 sites légitimes, dans 12 pays, transformés en relais d'attaque silencieux. Leurs propriétaires n'en savaient rien. Certains ne le savent toujours pas.

Vous êtes peut-être concerné sans le savoir. Un site WordPress non maintenu peut être compromis et utilisé comme relais de phishing pendant des semaines sans déclencher la moindre alerte visible. La seule façon de le savoir, c'est de surveiller activement.
250+
sites WordPress compromis identifiés
12+
pays touchés par la campagne
2018
Vidar Stealer actif depuis

Sommaire

  1. ClickFix : la campagne qui transforme les sites WordPress en pièges
  2. Comment votre WordPress peut être piraté et utilisé comme arme
  3. La chaîne d'attaque ClickFix décryptée, étape par étape
  4. Vidar Stealer : ce que ces attaques volent réellement
  5. 6 signes que votre WordPress sert de relais sans que vous le sachiez
  6. Comment protéger votre WordPress contre le détournement ClickFix
  7. FAQ - Sites WordPress compromis et campagnes ClickFix

ClickFix : la campagne qui transforme les sites WordPress en pièges

ClickFix n'est pas un nouveau malware. C'est une technique d'ingénierie sociale - une méthode pour convaincre des gens d'exécuter eux-mêmes du code malveillant, sans exploiter aucune faille technique dans leur propre système. C'est justement pour ça qu'elle fonctionne. Le maillon faible, c'est l'humain - et les attaquants le savent mieux que quiconque.

Le scénario est identique à chaque fois : vous visitez un site ordinaire - un blog d'entreprise, un site d'association, un prestataire local. Ce site a été compromis à l'insu de son propriétaire. En arrivant, vous tombez sur une page qui imite parfaitement une vérification Cloudflare ou un CAPTCHA de sécurité. La page vous explique que votre navigateur doit être « vérifié » avant d'accéder au contenu, et vous demande d'appuyer sur Win+R, de coller une commande dans la boîte Exécuter, et d'appuyer sur Entrée. Si vous le faites, vous exécutez un script qui télécharge et lance le malware Vidar Stealer.

Le rapport Bitdefender publié en mai 2026 qui a documenté cette vague ciblait principalement l'Australie, mais les sites compromis se trouvaient aux États-Unis, au Royaume-Uni, en Allemagne, au Canada et dans une dizaine d'autres pays. Plus de 250 sites identifiés, des processus automatisés, une organisation clairement structurée. Ce n'est pas l'œuvre d'amateurs.

Pourquoi les sites WordPress sont-ils si souvent ciblés ?

WordPress équipe 43 % de l'ensemble du web selon W3Techs. C'est une surface d'attaque énorme. Parmi ces millions de sites, une fraction significative tourne avec des plugins obsolètes, des thèmes non mis à jour, des mots de passe faibles ou des panneaux d'administration exposés. Pour les attaquants, c'est un vivier quasi inépuisable de serveurs légitimes à compromettre : des serveurs dont la réputation est bonne, dont l'IP n'est pas blacklistée, et qui fournissent une couverture parfaite pour des opérations malveillantes.

C'est le même mécanisme qu'on évoquait dans notre article sur les arnaques SSL : les pages de phishing ne sont presque jamais hébergées sur des serveurs dédiés aux escrocs. Elles sont hébergées sur votre site, ou sur celui de votre voisin. La question n'est pas vraiment « est-ce que ça pourrait m'arriver ? » - c'est « est-ce que c'est déjà en train de se passer ? »

Comment votre WordPress peut être piraté et utilisé comme arme

Il faut distinguer deux victimes dans ce type de campagne. La victime finale - celle à qui on vole des identifiants ou des cryptomonnaies. Et la victime intermédiaire - le propriétaire du site WordPress dont l'infrastructure est détournée sans qu'il en sache rien. Cette deuxième victime, c'est souvent un artisan, une TPE, une association, dont le site tourne depuis des années sans que personne ne l'entretienne vraiment.

Les vecteurs d'entrée les plus courants

  • Plugin ou thème vulnérable. C'est le vecteur le plus fréquent. Une faille dans un plugin populaire non mis à jour suffit - on a vu des CVE notées 9.8/10 exploitées massivement dans les 48 heures suivant leur publication, comme avec Breeze Cache ou User Registration. Le correctif existe, personne n'a mis à jour.
  • Identifiants faibles ou volés. Le combo admin / admin résiste en moyenne moins de 30 minutes à une attaque par force brute automatisée. Les identifiants volés lors d'autres piratages circulent sur des marchés clandestins et sont testés en masse sur des installations WordPress.
  • Page wp-admin exposée sans protection. Sans restriction IP ni double authentification, la page /wp-admin/ est accessible à n'importe qui sur internet - et les bots de scan le savent.
  • Credentials d'hébergement anciens. Des identifiants FTP ou cPanel jamais changés depuis des années, récupérés lors d'une fuite de données d'un autre service où vous avez réutilisé le même mot de passe.

Une fois à l'intérieur, l'attaquant n'a pas besoin de faire grand-chose de visible. Il injecte quelques lignes de JavaScript dans un fichier de thème ou dans la base de données WordPress, installe parfois un backdoor discret dans un répertoire obscur, et le site reprend son apparence normale. De votre côté, rien ne change. Mais pour certains visiteurs - ciblés par géolocalisation, système d'exploitation ou heure d'accès - la mécanique est en place.

La chaîne d'attaque ClickFix décryptée, étape par étape

1

Compromission du site WordPress

L'attaquant exploite une faille dans un plugin obsolète, force le mot de passe wp-admin, ou utilise des identifiants volés. Il injecte du JavaScript malveillant dans les fichiers du thème actif ou dans une option de la base de données WordPress.

2

Déclenchement conditionnel invisible

Le script ne se déclenche que sous conditions précises : géolocalisation (ciblage australien dans cette campagne), OS Windows, heure d'accès. Les propriétaires du site, hors de la zone ciblée, ne voient jamais rien d'anormal.

3

Affichage d'une fausse page de vérification

La victime est redirigée vers une page imitant parfaitement une vérification Cloudflare ou un CAPTCHA. Graphiquement soignée, rassurante - un message explique que son navigateur doit être « vérifié » pour accéder au contenu.

4

Instruction de copier-coller une commande

La page invite la victime à appuyer sur Win+R, à coller une commande dans la boîte Exécuter et à valider. La commande est affichée dans un champ de texte « pratique », prête à être copiée. Beaucoup d'utilisateurs, pensant résoudre un problème technique, s'exécutent.

5

Téléchargement et exécution de Vidar Stealer

La commande exécutée contacte un serveur de contrôle - via un bot Telegram ou un profil Steam utilisés comme « résolveurs morts » - et télécharge Vidar Stealer. Le malware s'exécute en mémoire, collecte les données, les transmet.

6

Exfiltration silencieuse - puis disparition

Mots de passe, cookies de session, portefeuilles crypto, fichiers ciblés - tout est transmis en quelques secondes. Vidar efface ensuite son propre exécutable. La victime retrouve son navigateur normal. Aucune trace.

Ce qui rend ClickFix particulièrement difficile à contrer : la commande malveillante n'exploite aucune faille technique dans Windows. C'est l'utilisateur qui l'exécute volontairement. La plupart des antivirus ne lèvent pas d'alerte avant l'exécution, car l'action est initiée par un humain - pas par un processus automatique.

Vidar Stealer : ce que le malware emporte sur votre machine

Vidar Stealer est un malware de type infostealer actif depuis 2018, distribué en mode Malware-as-a-Service (MaaS) - n'importe quel groupe criminel peut le louer et l'utiliser dans ses propres campagnes. C'est ce modèle qui explique sa présence dans des attaques aussi différentes que ClickFix. Il collecte un inventaire méthodique de tout ce qui a de la valeur :

Catégorie de données Détail Impact
Identifiants enregistrés Mots de passe sauvegardés dans Chrome, Firefox, Edge, Brave Critique
Cookies de session actifs Jetons d'authentification - permettent de se connecter sans mot de passe ni 2FA Critique
Données de saisie automatique Adresses, numéros de téléphone, données bancaires enregistrées dans le navigateur Critique
Portefeuilles cryptomonnaies Fichiers wallet.dat, extensions MetaMask, Exodus, Coinbase Critique
Fichiers personnels ciblés Documents, images, fichiers selon des extensions prédéfinies Élevé
Informations système Configuration matérielle, adresse IP, liste des logiciels installés Élevé

Le vol de cookies de session mérite une attention particulière. Ces cookies permettent de contourner l'authentification à deux facteurs. Même si vous avez activé le 2FA sur votre banque, votre messagerie ou votre interface WordPress, un attaquant qui dispose de votre cookie de session actif peut se connecter sans déclencher aucune vérification supplémentaire. C'est la raison pour laquelle Vidar est si recherché sur les marchés clandestins - il permet de contourner les protections que la plupart des gens considèrent comme suffisantes.

Après exécution, Vidar efface son propre exécutable. Pas de trace sur le disque, pas d'alerte antivirus a posteriori, pas de processus suspect dans le gestionnaire des tâches. L'attaque est terminée en quelques secondes et pratiquement indétectable après coup.

6 signes que votre WordPress sert de relais sans que vous le sachiez

C'est là que ça devient inconfortable. Dans la grande majorité des cas, un site WordPress utilisé comme relais de phishing continue de fonctionner parfaitement. Votre contenu est là, vos visiteurs habituels ne voient rien, Google ne signale encore rien. L'injection est conçue pour être invisible. Mais il y a des signaux - à condition de savoir où regarder.

  • Alerte Google Safe Browsing. Votre navigateur, ou celui d'un visiteur, affiche une page rouge « Ce site est dangereux ». Google a détecté du contenu malveillant sur votre domaine. C'est souvent la première alerte que reçoivent les propriétaires - et le dommage de réputation est déjà là à ce stade.
  • Suspension de votre hébergement. Votre hébergeur a détecté une activité anormale (trafic sortant inhabituel, requêtes PHP suspectes) et a suspendu le compte à titre préventif. Vous vous retrouvez avec un site hors ligne et un email d'alerte à déchiffrer en urgence.
  • Fichiers PHP inconnus dans /wp-content/uploads/. Ce dossier n'est pas censé contenir de fichiers PHP. Si vous y trouvez des scripts avec des noms générés aléatoirement, c'est un signal clair de compromission - c'est le vecteur d'hébergement des pages de phishing le plus répandu.
  • Fichiers core WordPress modifiés à une date suspecte. Les fichiers wp-config.php, index.php ou les fichiers de votre thème actif modifiés à une heure ou une date que vous ne reconnaissez pas. Un plugin de monitoring comme Wordfence détecte ces changements en temps réel et envoie une alerte email.
  • Notification dans Google Search Console. Dans « Problèmes de sécurité », GSC signale du contenu piraté, des redirections malveillantes ou des logiciels indésirables. C'est aussi le point de départ des dégâts SEO d'un piratage WordPress - et récupérer un ranking prend du temps.
  • Trafic sur des URL que vous n'avez jamais créées. Dans vos analytics, des visites sur des URLs type /wp-content/uploads/2026/04/v3rif.php ou des chemins qui ne correspondent à aucune page de votre site. Ce sont les pages de phishing injectées, accessibles depuis l'extérieur.

Comment protéger votre WordPress contre le détournement ClickFix

Ce que les 250+ sites compromis dans cette campagne avaient en commun : des vulnérabilités connues, avec un correctif disponible que personne n'avait appliqué.

Les mesures concrètes à mettre en place

  • Mettez à jour WordPress, vos thèmes et tous vos plugins sans exception. C'est le premier vecteur d'entrée. Une mise à jour manquée sur un plugin critique peut suffire. Les failles exploitées dans les campagnes comme ClickFix sont quasi systématiquement des vulnérabilités connues - avec un patch disponible que personne n'a installé.
  • Activez l'authentification à deux facteurs sur wp-admin. Une tentative de connexion par force brute devient inutile si elle nécessite un code temporaire en plus du mot de passe. Plugins recommandés : WP 2FA, Wordfence Login Security.
  • Installez un plugin de monitoring d'intégrité des fichiers. Wordfence (version gratuite disponible) surveille les modifications en temps réel et envoie une alerte email dès qu'un fichier core est touché. C'est la détection précoce la plus fiable disponible sans serveur dédié.
  • Restreignez l'accès à /wp-admin/ par IP. Si vous accédez toujours à votre tableau de bord depuis la même adresse IP, une règle .htaccess peut bloquer l'accès à toute autre IP. Simple et redoutablement efficace contre les scans automatisés.
  • Désactivez l'exécution PHP dans /wp-content/uploads/. Une règle .htaccess dans ce répertoire empêche l'exécution de fichiers PHP - ce qui coupe l'herbe sous le pied à la technique d'injection la plus courante dans les campagnes comme ClickFix.
  • Vérifiez que vos sauvegardes sont récentes et stockées hors serveur. En cas de compromission, la sauvegarde est votre seul filet de sécurité réel. Une sauvegarde stockée sur le même serveur que le site compromis ne vaut rien si l'attaquant a un accès complet.

Ce que regardent les scanners automatisés avant de cibler votre site

Les campagnes comme ClickFix ne ciblent pas les sites manuellement. Elles utilisent des scanners automatisés qui testent des milliers de sites WordPress en quelques heures. Ce qu'ils cherchent : la version de WordPress affichée dans le code source, les plugins détectables via leurs fichiers CSS ou JS publics, la page wp-login.php sans protection, les en-têtes HTTP qui trahissent une configuration serveur ancienne.

Masquer l'affichage public de la version WordPress, désactiver l'accès aux fichiers readme.txt et license.txt, supprimer l'en-tête X-Powered-By - ce sont des mesures de durcissement simples qui réduisent votre visibilité dans ces scans. Elles ne suffisent pas seules, mais elles élèvent le coût de l'attaque.

Ce que nous faisons pour nos clients. Dans le cadre de notre service de maintenance WordPress, nous appliquons ces mesures de durcissement dès l'onboarding, puis nous surveillons l'intégrité des fichiers en continu. Quand une anomalie est détectée, nous intervenons avant que la compromission devienne un incident. Après plus de 20 ans sur le terrain, j'ai vu suffisamment de sites « tranquilles » découvrir qu'ils hébergeaient du contenu malveillant depuis des semaines - sans qu'aucune alerte ne soit jamais remontée.

La France est dans la liste des pays touchés

Les sites compromis identifiés par Bitdefender dans cette campagne couvraient une douzaine de pays. La France n'est pas explicitement nommée dans le rapport, mais elle fait partie de la zone géographique documentée - et avec plus de 3 millions de sites WordPress actifs sur le territoire, elle représente une surface d'attaque significative. La liste des pays cités :

Australie (cible principale) États-Unis Royaume-Uni Allemagne Canada France (zone concernée) Pays-Bas Espagne Italie Brésil Inde Japon

FAQ - Sites WordPress compromis et campagnes ClickFix

Comment savoir si mon site WordPress sert de relais à une campagne de phishing ?

Plusieurs signaux doivent alerter : une alerte Google Safe Browsing sur votre domaine, une suspension de votre hébergement pour activité suspecte, des fichiers PHP inconnus dans /wp-content/uploads/, des fichiers core modifiés à une date que vous ne reconnaissez pas, ou une notification dans Google Search Console concernant du contenu suspect. Un plugin comme Wordfence envoie une alerte email dès qu'un fichier est modifié. En l'absence de monitoring, une attaque peut passer inaperçue pendant plusieurs semaines.

Mon hébergeur peut-il détecter que mon site est utilisé comme relais de phishing ?

Oui, et c'est souvent par là que ça se découvre. Les hébergeurs surveillent les comportements anormaux : pics de trafic sortant, requêtes HTTP inhabituelles, nouveaux fichiers PHP suspects. La plupart des hébergeurs sérieux (O2Switch, OVHcloud, Infomaniak) disposent de systèmes antimalware et peuvent suspendre un compte en cas d'activité malveillante détectée. Mais cette détection n'est pas instantanée - un site peut servir de relais plusieurs jours avant qu'une action soit prise. La surveillance côté propriétaire reste donc indispensable.

Suis-je légalement responsable si mon site sert à du phishing sans que je le sache ?

En principe, non - être victime d'un piratage n'est pas une infraction. Mais la situation peut se compliquer si la compromission résulte d'une négligence caractérisée : mot de passe trivial, mise à jour ignorée pendant des mois malgré une vulnérabilité publiquement connue. En France, le RGPD impose une obligation de sécurité raisonnable pour les données hébergées. L'absence de mesures minimales peut engager votre responsabilité civile. Maintenir WordPress à jour et utiliser des mots de passe solides suffit généralement à démontrer une diligence raisonnable. En cas d'incident avéré, vous pouvez le déclarer sur Cybermalveillance.gouv.fr - la plateforme nationale d'assistance aux victimes de cyberattaques - et consulter les alertes publiées par le CERT-FR (ANSSI) qui suit ce type de campagnes en temps réel.

ClickFix peut-il toucher d'autres types de sites que WordPress ?

Oui. Des sites sous Joomla, Drupal et des sites statiques sur serveurs mal sécurisés ont aussi été ciblés. WordPress est simplement la cible la plus fréquente parce qu'il équipe 43 % du web - mécaniquement, la probabilité de trouver des sites mal maintenus est plus élevée. La technique d'injection JavaScript fonctionne sur n'importe quel CMS. La surface d'attaque dépend directement de la qualité de la maintenance.

Que faire si Google Safe Browsing a blacklisté mon domaine suite à une injection ?

Première étape : nettoyer le site - supprimer les fichiers malveillants, restaurer les fichiers core WordPress depuis une source saine, changer tous les mots de passe. Deuxième étape : demander une révision via Google Search Console dans la section « Problèmes de sécurité ». Google réévalue généralement dans les 24 à 72 heures. En parallèle, prévenez votre hébergeur pour confirmer que le serveur est sain. Une révision soumise avec un site encore infecté reporte le délai - nettoyez d'abord, signalez ensuite. Si vous n'êtes pas à l'aise avec le nettoyage technique, nous pouvons intervenir.

Votre site WordPress est peut-être déjà un relais - et vous ne le savez pas

Les 250+ sites identifiés dans la campagne ClickFix n'ont pas été compromis parce que leurs propriétaires étaient négligents au sens péjoratif du terme. Ils ont été compromis parce qu'un plugin n'était pas à jour, parce qu'un mot de passe était faible, ou parce que personne ne regardait.

Les attaquants ne visent pas votre site en particulier. Ils lancent des outils automatisés qui testent des millions d'installations WordPress en quelques heures, cherchent ce qui est exposé, et frappent. Plus une vulnérabilité connue traîne sans être corrigée, plus la fenêtre d'exposition s'élargit. Et quand un scanner trouve ce qu'il cherche, l'exploitation prend quelques secondes.

Les risques d'un WordPress non maintenu ne s'arrêtent pas à votre site. Il y a aussi les visiteurs dont les identifiants ont été volés via une fausse page hébergée sur votre domaine - à votre insu, sans que vous puissiez rien faire après coup.

Si vous ne savez pas dans quel état est votre WordPress en ce moment, vérifiez. Et si vous ne voulez pas avoir à y penser vous-même - la sécurité de vos plugins et l'intégrité de vos fichiers font partie de ce qu'on surveille pour vous, chaque jour. C'est exactement pour ça qu'on est là.

À propos de l'auteur

Yohann LE DU

Expert WordPress & Sécurité web

Développeur senior depuis plus de 20 ans, spécialiste WordPress et sécurité web. Yohann accompagne les TPE, PME et associations dans la maintenance préventive et la sécurisation de leurs sites WordPress.

Voir le profil complet →
Pour aller plus loin
Guide pratique

Site WordPress piraté : que faire ? Le guide complet de récupération

7 étapes pour nettoyer, réparer et sécuriser votre site après un piratage WordPress.

Lire l'article → Sécurité & Arnaque

Email « certificat SSL expiré » : arnaque ou vrai message de votre hébergeur ?

Votre SSL se renouvelle gratuitement et automatiquement. Ces emails urgents sont des arnaques - voici comment les identifier en 30 secondes.

Lire l'article → Sécurité

7 risques concrets d'un site WordPress sans maintenance

Piratage, lenteur, perte de données : les 7 risques réels d'un WordPress non maintenu.

Lire l'article →

Votre site WordPress est-il déjà un relais à votre insu ?

Un audit de sécurité complet prend moins de 24h. On vous dit exactement ce qui doit être corrigé - et on s'en charge.

Découvrir nos formules de maintenance → Demander un audit de sécurité