ShapedPlugin : des plugins Pro piégés d'une porte dérobée distribuée via les mises à jour officielles

ShapedPlugin, éditeur de plugins WordPress premium (sliders, témoignages, affichages d'articles), a vu son outil de fabrication automatisé piraté : pendant plusieurs semaines, trois de ses plugins Pro ont distribué une porte dérobée complète à chaque téléchargement effectué via le système de mise à jour officiel de l'éditeur. Pas un plugin piégé sur un site de piratage - le vrai fichier, téléchargé depuis la source légitime, vendu avec une licence payante. Environ 400 000 sites WordPress sont concernés. Sans maintenance préventive WordPress, ce type de compromission à la source passe inaperçu jusqu'à ce que le compte administrateur fantôme soit découvert, parfois bien après les faits.

Action requise. Si votre site utilise Product Slider Pro for WooCommerce, Real Testimonials Pro ou Smart Post Show Pro, mettez à jour immédiatement et vérifiez la présence d'un compte wp_support_sys dans vos utilisateurs. Besoin d'aide pour auditer votre site ? Contactez-nous →
400 000+
Sites WordPress potentiellement concernés
3
Plugins Pro compromis à la source
9.8/10
Score de gravité CVSS
21 jours
Entre la compromission du pipeline et sa détection

ShapedPlugin : un éditeur premium touché à la source

ShapedPlugin est un éditeur reconnu de plugins WordPress premium : sliders, blocs de témoignages clients, affichages d'articles personnalisés. Contrairement à beaucoup d'extensions gratuites, ses versions Pro ne passent pas par le répertoire WordPress.org - elles sont vendues directement depuis le site de l'éditeur, avec un système de licence et de mise à jour géré via Easy Digital Downloads (EDD), une plateforme e-commerce dédiée à la vente de produits numériques.

Le 11 juin 2026, l'équipe de Wordfence Threat Intelligence est alertée d'une activité suspecte sur des sites utilisant des plugins ShapedPlugin. L'investigation révèle que trois plugins Pro distribuent du code malveillant : Product Slider Pro for WooCommerce (versions antérieures à 3.5.4), Real Testimonials Pro (version 3.2.5) et Smart Post Show Pro (versions antérieures à 4.0.2). Les versions gratuites équivalentes disponibles sur WordPress.org ne sont pas affectées - elles suivent un circuit de fabrication et de distribution entièrement séparé.

La faille : le pipeline de build compromis, pas le plugin lui-même

C'est ce qui distingue cet incident d'une faille de code classique. Il ne s'agit pas d'une erreur de programmation découverte dans le plugin, mais d'une compromission du pipeline de build - le processus automatisé qui assemble, empaquette et publie chaque nouvelle version du logiciel avant sa mise à disposition aux clients.

Les attaquants ont obtenu un accès à ce pipeline autour du 21 mai 2026. À partir de cette date, chaque nouveau paquet généré pour les trois plugins concernés - et distribué aux clients via leur système de mise à jour automatique - contenait du code injecté à l'insu de l'éditeur. Le client qui a cliqué sur "Mettre à jour" depuis son tableau de bord WordPress, en toute confiance, a reçu la version piégée directement depuis la source officielle.

Pourquoi c'est particulièrement dangereux : une faille de plugin classique s'exploite à distance et peut être bloquée par un pare-feu applicatif en attendant le correctif. Une compromission de la chaîne de fabrication, elle, livre directement le code malveillant à l'intérieur du processus de confiance que représente une mise à jour officielle. Aucun pare-feu ne bloque "sa propre mise à jour".

Le mécanisme exact : LicenseLoader.php et le second étage

Le code injecté prend la forme d'un fichier nommé LicenseLoader.php - un nom choisi pour se confondre avec la logique légitime de vérification de licence que ces plugins exécutent normalement. Son fonctionnement se déroule en plusieurs étapes :

  • Le fichier s'active dès qu'un administrateur accède au tableau de bord WordPress
  • Il contacte un serveur de commande et contrôle (C2) sous le contrôle des attaquants
  • Il télécharge un second étage : la porte dérobée complète
  • Cette porte dérobée s'installe en se faisant passer pour un plugin légitime, sous le nom woocommerce-subscription ou woocommerce-notification
  • Le fichier LicenseLoader.php d'origine s'autodétruit pour effacer la trace de l'infection initiale

Cette architecture en deux étapes - un petit chargeur discret qui télécharge ensuite la charge complète - est une technique classique pour limiter ce qu'un scan antivirus statique peut détecter dans le paquet initial. Le code véritablement malveillant n'arrive sur le serveur qu'après la première activation, une fois le plugin déjà installé et de confiance.

Ce que la porte dérobée vole et installe sur votre site

Une fois en place, le faux plugin crée un compte administrateur caché, sous le nom d'utilisateur wp_support_sys - délibérément choisi pour ressembler à un compte technique légitime. Ce compte n'apparaît pas systématiquement dans la liste visible des utilisateurs et offre un accès privilégié permanent, même si le plugin d'origine est ensuite désinstallé.

La porte dérobée est conçue pour exfiltrer :

  • Les identifiants de connexion WordPress - nom d'utilisateur, mot de passe, cookies de session
  • Les secrets de double authentification (2FA) configurés sur les plugins de sécurité du site
  • Les identifiants de connexion à la base de données et les clés présentes dans wp-config.php
  • Les données de commandes WooCommerce des trois derniers mois, si la boutique est active

Elle déploie également plusieurs mécanismes d'accès distant redondants : si l'un est détecté et supprimé, les autres permettent de conserver l'accès. Dans les interventions de réparation WordPress que nous menons sur des compromissions de ce type, c'est précisément cette redondance qui rend le nettoyage complexe - supprimer le plugin visible ne suffit presque jamais.

Les indicateurs de compromission à vérifier immédiatement

Compte administrateur nommé wp_support_sys dans Utilisateurs → Tous les utilisateurs
Dossiers de plugin nommés woocommerce-subscription ou woocommerce-notification dans wp-content/plugins, absents de vos installations volontaires
Présence ou trace résiduelle d'un fichier LicenseLoader.php dans les dossiers des plugins ShapedPlugin
Connexions sortantes inhabituelles vers des domaines inconnus dans les logs serveur, particulièrement depuis fin mai 2026
Exports ou consultations anormales des données de commandes WooCommerce récentes

Versions concernées et correctifs

Plugin Versions vulnérables Version corrigée
Product Slider Pro for WooCommerce < 3.5.4 3.5.4
Real Testimonials Pro 3.2.5 3.2.6
Smart Post Show Pro < 4.0.2 4.0.2
Comment vérifier votre version : Tableau de bord WordPress → Extensions → recherchez chacun des trois plugins concernés. Si une version inférieure à celle indiquée est installée, mettez à jour immédiatement, puis passez au nettoyage manuel détaillé ci-dessous - la mise à jour seule ne suffit pas.

Ce qu'il faut faire maintenant

1 - Mettre à jour les trois plugins concernés

Mettez à jour Product Slider Pro for WooCommerce vers 3.5.4, Real Testimonials Pro vers 3.2.6 et Smart Post Show Pro vers 4.0.2 ou versions ultérieures. Cette étape empêche une nouvelle infection mais ne nettoie pas ce qui est déjà installé.

2 - Rechercher et supprimer les faux plugins

Dans wp-content/plugins via FTP ou votre gestionnaire de fichiers, recherchez des dossiers nommés woocommerce-subscription ou woocommerce-notification qui ne correspondent à aucune extension installée volontairement, et supprimez-les.

3 - Supprimer le compte administrateur caché

Dans Utilisateurs → Tous les utilisateurs, recherchez un compte nommé wp_support_sys. S'il est présent, supprimez-le immédiatement et révoquez toutes ses sessions actives.

4 - Réinitialiser tous les mots de passe et secrets 2FA

Changez les mots de passe de tous les comptes administrateurs, régénérez les secrets de double authentification de vos plugins de sécurité, et changez le mot de passe de connexion à votre base de données.

5 - Scanner le site complet et envisager une restauration

Utilisez Wordfence ou Sucuri pour confirmer l'absence d'autres composants malveillants. En cas de doute sur l'étendue de la compromission, une restauration depuis une sauvegarde antérieure au 21 mai 2026 reste l'option la plus fiable - notre service de dépannage WordPress peut prendre en charge ce diagnostic en urgence.

Si vous gérez plusieurs sites avec des plugins premium issus d'éditeurs variés, c'est précisément ce que couvre un contrat de maintenance WordPress : veille sur les alertes de sécurité touchant l'ensemble de votre stack logicielle, y compris les compromissions à la source comme celle-ci, qu'aucun scanner de vulnérabilités classique ne détecte avant leur divulgation publique.

Chronologie

  • 1
    21 mai 2026
    Le pipeline de build automatisé de ShapedPlugin est compromis. Les paquets générés à partir de cette date pour trois plugins Pro contiennent le fichier malveillant LicenseLoader.php.
  • 2
    11 juin 2026
    Wordfence Threat Intelligence est notifié d'une activité suspecte sur des sites utilisant des plugins ShapedPlugin et ouvre une investigation.
  • 3
    Mi-juin 2026
    ShapedPlugin publie des versions corrigées pour les trois plugins concernés et reconnaît publiquement l'incident.
  • 4
    Juin 2026
    Divulgation publique complète par Wordfence sous la référence CVE-2026-10735, relayée par plusieurs médias spécialisés en cybersécurité WordPress.

FAQ - Faille ShapedPlugin et porte dérobée supply chain

Suis-je concerné si j'utilise la version gratuite de ces plugins ?

Non. Seules les versions Pro, vendues directement par ShapedPlugin et distribuées via son propre système de licence, ont été compromises. Les versions gratuites disponibles sur WordPress.org ne sont pas concernées, car elles suivent un circuit de fabrication et de distribution entièrement différent.

La mise à jour du plugin suffit-elle à nettoyer mon site ?

Non. La mise à jour installe une version propre du plugin, mais elle ne supprime pas ce que la porte dérobée a déjà installé - faux plugin caché, compte administrateur fantôme, accès distants persistants. Un nettoyage manuel complet est indispensable en complément.

Comment une faille peut-elle toucher un plugin payant vendu directement par l'éditeur ?

Ce n'est pas une faille dans le code du plugin lui-même, mais une compromission du pipeline de build - le processus automatisé qui assemble et publie chaque nouvelle version. Chaque copie légitime téléchargée depuis le site officiel après le 21 mai 2026 contenait la porte dérobée, sans que l'éditeur en ait nécessairement été conscient au moment de la publication.

Comment savoir si mon site a déjà été compromis par cette porte dérobée ?

Recherchez un compte administrateur nommé wp_support_sys dans votre liste d'utilisateurs, et des dossiers de plugin nommés woocommerce-subscription ou woocommerce-notification qui ne correspondent à aucune extension installée volontairement. Vérifiez aussi les connexions sortantes inhabituelles dans vos logs serveur depuis fin mai 2026.

En quoi cet incident diffère-t-il de l'attaque supply chain sur 20 plugins WordPress documentée précédemment ?

Le mécanisme est différent. L'incident précédent impliquait le rachat d'éditeurs légitimes par des acteurs malveillants, qui glissaient ensuite des portes dérobées dans les mises à jour distribuées via WordPress.org. Ici, ShapedPlugin reste l'éditeur légitime : c'est son outil de fabrication automatisé qui a été piraté, et la distribution s'est faite via son propre système de licence, pas via le répertoire officiel.

Quand la confiance elle-même devient le vecteur d'attaque

Le réflexe "mettez à jour vos plugins" - le conseil de sécurité numéro un répété dans presque tous nos articles - devient ici, temporairement, le vecteur de l'attaque elle-même. Le client qui a cliqué sur "Mettre à jour" en toute confiance n'a commis aucune erreur. Il a fait exactement ce qu'on lui recommande de faire depuis toujours.

Aucune vigilance individuelle ne protège contre un fournisseur de confiance dont l'outil de fabrication a été infiltré en amont. C'est ce qui rend les compromissions de chaîne d'approvisionnement logicielle si difficiles à anticiper côté utilisateur final. La précédente vague de rachats d'éditeurs WordPress avait déjà montré ce schéma sous un angle différent. Celui-ci confirme une chose : la chaîne de fabrication logicielle, et pas seulement la réputation de l'éditeur, fait désormais partie du périmètre de sécurité d'un site WordPress.

À propos de l'auteur

Yohann LE DU

Expert WordPress & Sécurité web

Développeur senior depuis plus de 20 ans, spécialiste WordPress et sécurité web. Yohann accompagne les TPE, PME et associations dans la maintenance préventive et la sécurisation de leurs sites WordPress.

Un plugin ShapedPlugin sur votre site ? Faites-le vérifier maintenant.

Une mise à jour ne suffit pas à supprimer une porte dérobée déjà installée. Notre maintenance WordPress inclut la veille sur les compromissions à la source et l'audit complet en cas d'incident.