ShapedPlugin : des plugins Pro piégés d'une porte dérobée distribuée via les mises à jour officielles
ShapedPlugin, éditeur de plugins WordPress premium (sliders, témoignages, affichages d'articles), a vu son outil de fabrication automatisé piraté : pendant plusieurs semaines, trois de ses plugins Pro ont distribué une porte dérobée complète à chaque téléchargement effectué via le système de mise à jour officiel de l'éditeur. Pas un plugin piégé sur un site de piratage - le vrai fichier, téléchargé depuis la source légitime, vendu avec une licence payante. Environ 400 000 sites WordPress sont concernés. Sans maintenance préventive WordPress, ce type de compromission à la source passe inaperçu jusqu'à ce que le compte administrateur fantôme soit découvert, parfois bien après les faits.
wp_support_sys dans vos utilisateurs. Besoin d'aide pour auditer votre site ? Contactez-nous →
Sommaire
- ShapedPlugin : un éditeur premium touché à la source
- La faille : le pipeline de build compromis, pas le plugin lui-même
- Le mécanisme exact : LicenseLoader.php et le second étage
- Ce que la porte dérobée vole et installe sur votre site
- Les indicateurs de compromission à vérifier immédiatement
- Versions concernées et correctifs
- Ce qu'il faut faire maintenant
- Chronologie
- FAQ
ShapedPlugin : un éditeur premium touché à la source
ShapedPlugin est un éditeur reconnu de plugins WordPress premium : sliders, blocs de témoignages clients, affichages d'articles personnalisés. Contrairement à beaucoup d'extensions gratuites, ses versions Pro ne passent pas par le répertoire WordPress.org - elles sont vendues directement depuis le site de l'éditeur, avec un système de licence et de mise à jour géré via Easy Digital Downloads (EDD), une plateforme e-commerce dédiée à la vente de produits numériques.
Le 11 juin 2026, l'équipe de Wordfence Threat Intelligence est alertée d'une activité suspecte sur des sites utilisant des plugins ShapedPlugin. L'investigation révèle que trois plugins Pro distribuent du code malveillant : Product Slider Pro for WooCommerce (versions antérieures à 3.5.4), Real Testimonials Pro (version 3.2.5) et Smart Post Show Pro (versions antérieures à 4.0.2). Les versions gratuites équivalentes disponibles sur WordPress.org ne sont pas affectées - elles suivent un circuit de fabrication et de distribution entièrement séparé.
La faille : le pipeline de build compromis, pas le plugin lui-même
C'est ce qui distingue cet incident d'une faille de code classique. Il ne s'agit pas d'une erreur de programmation découverte dans le plugin, mais d'une compromission du pipeline de build - le processus automatisé qui assemble, empaquette et publie chaque nouvelle version du logiciel avant sa mise à disposition aux clients.
Les attaquants ont obtenu un accès à ce pipeline autour du 21 mai 2026. À partir de cette date, chaque nouveau paquet généré pour les trois plugins concernés - et distribué aux clients via leur système de mise à jour automatique - contenait du code injecté à l'insu de l'éditeur. Le client qui a cliqué sur "Mettre à jour" depuis son tableau de bord WordPress, en toute confiance, a reçu la version piégée directement depuis la source officielle.
Le mécanisme exact : LicenseLoader.php et le second étage
Le code injecté prend la forme d'un fichier nommé LicenseLoader.php - un nom choisi pour se confondre avec la logique légitime de vérification de licence que ces plugins exécutent normalement. Son fonctionnement se déroule en plusieurs étapes :
- Le fichier s'active dès qu'un administrateur accède au tableau de bord WordPress
- Il contacte un serveur de commande et contrôle (C2) sous le contrôle des attaquants
- Il télécharge un second étage : la porte dérobée complète
- Cette porte dérobée s'installe en se faisant passer pour un plugin légitime, sous le nom
woocommerce-subscriptionouwoocommerce-notification - Le fichier
LicenseLoader.phpd'origine s'autodétruit pour effacer la trace de l'infection initiale
Cette architecture en deux étapes - un petit chargeur discret qui télécharge ensuite la charge complète - est une technique classique pour limiter ce qu'un scan antivirus statique peut détecter dans le paquet initial. Le code véritablement malveillant n'arrive sur le serveur qu'après la première activation, une fois le plugin déjà installé et de confiance.
Ce que la porte dérobée vole et installe sur votre site
Une fois en place, le faux plugin crée un compte administrateur caché, sous le nom d'utilisateur wp_support_sys - délibérément choisi pour ressembler à un compte technique légitime. Ce compte n'apparaît pas systématiquement dans la liste visible des utilisateurs et offre un accès privilégié permanent, même si le plugin d'origine est ensuite désinstallé.
La porte dérobée est conçue pour exfiltrer :
- Les identifiants de connexion WordPress - nom d'utilisateur, mot de passe, cookies de session
- Les secrets de double authentification (2FA) configurés sur les plugins de sécurité du site
- Les identifiants de connexion à la base de données et les clés présentes dans
wp-config.php - Les données de commandes WooCommerce des trois derniers mois, si la boutique est active
Elle déploie également plusieurs mécanismes d'accès distant redondants : si l'un est détecté et supprimé, les autres permettent de conserver l'accès. Dans les interventions de réparation WordPress que nous menons sur des compromissions de ce type, c'est précisément cette redondance qui rend le nettoyage complexe - supprimer le plugin visible ne suffit presque jamais.
Les indicateurs de compromission à vérifier immédiatement
wp_support_sys dans Utilisateurs → Tous les utilisateurswoocommerce-subscription ou woocommerce-notification dans wp-content/plugins, absents de vos installations volontairesLicenseLoader.php dans les dossiers des plugins ShapedPluginVersions concernées et correctifs
| Plugin | Versions vulnérables | Version corrigée |
|---|---|---|
| Product Slider Pro for WooCommerce | < 3.5.4 | 3.5.4 |
| Real Testimonials Pro | 3.2.5 | 3.2.6 |
| Smart Post Show Pro | < 4.0.2 | 4.0.2 |
Ce qu'il faut faire maintenant
Mettez à jour Product Slider Pro for WooCommerce vers 3.5.4, Real Testimonials Pro vers 3.2.6 et Smart Post Show Pro vers 4.0.2 ou versions ultérieures. Cette étape empêche une nouvelle infection mais ne nettoie pas ce qui est déjà installé.
Dans wp-content/plugins via FTP ou votre gestionnaire de fichiers, recherchez des dossiers nommés woocommerce-subscription ou woocommerce-notification qui ne correspondent à aucune extension installée volontairement, et supprimez-les.
Dans Utilisateurs → Tous les utilisateurs, recherchez un compte nommé wp_support_sys. S'il est présent, supprimez-le immédiatement et révoquez toutes ses sessions actives.
Changez les mots de passe de tous les comptes administrateurs, régénérez les secrets de double authentification de vos plugins de sécurité, et changez le mot de passe de connexion à votre base de données.
Utilisez Wordfence ou Sucuri pour confirmer l'absence d'autres composants malveillants. En cas de doute sur l'étendue de la compromission, une restauration depuis une sauvegarde antérieure au 21 mai 2026 reste l'option la plus fiable - notre service de dépannage WordPress peut prendre en charge ce diagnostic en urgence.
Si vous gérez plusieurs sites avec des plugins premium issus d'éditeurs variés, c'est précisément ce que couvre un contrat de maintenance WordPress : veille sur les alertes de sécurité touchant l'ensemble de votre stack logicielle, y compris les compromissions à la source comme celle-ci, qu'aucun scanner de vulnérabilités classique ne détecte avant leur divulgation publique.
Chronologie
-
121 mai 2026Le pipeline de build automatisé de ShapedPlugin est compromis. Les paquets générés à partir de cette date pour trois plugins Pro contiennent le fichier malveillant LicenseLoader.php.
-
211 juin 2026Wordfence Threat Intelligence est notifié d'une activité suspecte sur des sites utilisant des plugins ShapedPlugin et ouvre une investigation.
-
3Mi-juin 2026ShapedPlugin publie des versions corrigées pour les trois plugins concernés et reconnaît publiquement l'incident.
-
4Juin 2026Divulgation publique complète par Wordfence sous la référence CVE-2026-10735, relayée par plusieurs médias spécialisés en cybersécurité WordPress.
FAQ - Faille ShapedPlugin et porte dérobée supply chain
Suis-je concerné si j'utilise la version gratuite de ces plugins ?
Non. Seules les versions Pro, vendues directement par ShapedPlugin et distribuées via son propre système de licence, ont été compromises. Les versions gratuites disponibles sur WordPress.org ne sont pas concernées, car elles suivent un circuit de fabrication et de distribution entièrement différent.
La mise à jour du plugin suffit-elle à nettoyer mon site ?
Non. La mise à jour installe une version propre du plugin, mais elle ne supprime pas ce que la porte dérobée a déjà installé - faux plugin caché, compte administrateur fantôme, accès distants persistants. Un nettoyage manuel complet est indispensable en complément.
Comment une faille peut-elle toucher un plugin payant vendu directement par l'éditeur ?
Ce n'est pas une faille dans le code du plugin lui-même, mais une compromission du pipeline de build - le processus automatisé qui assemble et publie chaque nouvelle version. Chaque copie légitime téléchargée depuis le site officiel après le 21 mai 2026 contenait la porte dérobée, sans que l'éditeur en ait nécessairement été conscient au moment de la publication.
Comment savoir si mon site a déjà été compromis par cette porte dérobée ?
Recherchez un compte administrateur nommé wp_support_sys dans votre liste d'utilisateurs, et des dossiers de plugin nommés woocommerce-subscription ou woocommerce-notification qui ne correspondent à aucune extension installée volontairement. Vérifiez aussi les connexions sortantes inhabituelles dans vos logs serveur depuis fin mai 2026.
En quoi cet incident diffère-t-il de l'attaque supply chain sur 20 plugins WordPress documentée précédemment ?
Le mécanisme est différent. L'incident précédent impliquait le rachat d'éditeurs légitimes par des acteurs malveillants, qui glissaient ensuite des portes dérobées dans les mises à jour distribuées via WordPress.org. Ici, ShapedPlugin reste l'éditeur légitime : c'est son outil de fabrication automatisé qui a été piraté, et la distribution s'est faite via son propre système de licence, pas via le répertoire officiel.
Quand la confiance elle-même devient le vecteur d'attaque
Le réflexe "mettez à jour vos plugins" - le conseil de sécurité numéro un répété dans presque tous nos articles - devient ici, temporairement, le vecteur de l'attaque elle-même. Le client qui a cliqué sur "Mettre à jour" en toute confiance n'a commis aucune erreur. Il a fait exactement ce qu'on lui recommande de faire depuis toujours.
Aucune vigilance individuelle ne protège contre un fournisseur de confiance dont l'outil de fabrication a été infiltré en amont. C'est ce qui rend les compromissions de chaîne d'approvisionnement logicielle si difficiles à anticiper côté utilisateur final. La précédente vague de rachats d'éditeurs WordPress avait déjà montré ce schéma sous un angle différent. Celui-ci confirme une chose : la chaîne de fabrication logicielle, et pas seulement la réputation de l'éditeur, fait désormais partie du périmètre de sécurité d'un site WordPress.