WordPress : failles critiques dans GutenKit et Hunk Companion exploitées massivement – mettez à jour
Résumé
Des acteurs malveillants exploitent actuellement des vulnérabilités dans deux plugins WordPress populaires, GutenKit et Hunk Companion. Selon la Wordfence Threat Response Unit, ces deux extensions, qui représentent près de 50 000 installations au total, sont victimes d’une campagne d’exploitation massive commencée autour du 8 octobre 2025.
Comment se déroulent les attaques
Les deux plugins exposent une API REST mal configurée qui accepte des requêtes de n’importe quel internaute. Normalement, cette API ne doit être accessible qu’aux administrateurs ou aux utilisateurs authentifiés. En l’état, elle ne vérifie pas correctement les droits, ce qui permet à un attaquant non authentifié d’envoyer des commandes.
Les pirates envoient des commandes contenant l’URL d’un plugin infecté. Le site WordPress vulnérable télécharge, installe et active automatiquement ce plugin malveillant sans authentification ni validation du code. Le plugin installée comprend une porte dérobée permettant d’exécuter des commandes sur le serveur, d’installer d’autres malwares, de modifier le site ou de voler des données.
Mesures recommandées
Les correctifs pour ces failles ont été publiés fin 2024. Les chercheurs rappellent que les attaques ciblent principalement les sites dont les administrateurs n’ont pas appliqué les mises à jour. Ils recommandent donc de :
- Mettre à jour immédiatement : installer GutenKit en version 2.1.1 et Hunk Companion en version 1.9.0 ou ultérieure.
- Vérifier la présence de plugins inconnus ou suspects sur vos sites et les supprimer.
- Restreindre l’accès aux points d’entrée de l’API REST pour qu’ils ne soient accessibles qu’aux utilisateurs authentifiés et aux administrateurs.
- Consulter les journaux et l’historique d’activité pour détecter d’éventuelles commandes suspectes déjà exécutées.
Wordfence indique que son pare-feu a bloqué plus de 8,7 millions de tentatives d’exploitation, ce qui illustre l’ampleur de la campagne menée les 8 et 9 octobre 2025, près d’un an après la divulgation initiale des failles.
Contexte et précédents
Les plugins non mis à jour sont une cause récurrente d’intrusion sur WordPress. Par exemple, le malware DollyWay a compromis plus de 20 000 sites entre 2016 et 2025, souvent via des extensions obsolètes. D’autres incidents récents ont touché des dizaines de milliers, voire des millions, de sites : une faille dans Really Simple Security a exposé plus de quatre millions de sites, et une brèche dans Popup Builder a affecté plus de 3 000 sites.
En résumé : appliquez sans délai les mises à jour recommandées et vérifiez l’intégrité de vos sites pour limiter le risque d’intrusion.
Articles connexes
Fuite de données Spotify : 256 millions de morceaux compromis
Spotify victime d’une fuite massive de données ! Anna’s Archive revendique la diffusion de 256 millions de métadonnées et 86 millions de fichiers audio. Détails et enjeux.
Fuite de données CAF : 4 millions d’allocataires exposés
Enquête sur la fuite de données CAF revendiquée : un fichier de 15 Go aurait exposé 4 millions d’allocataires. Origine inter-admin et conseils pour se protéger.
Tails publie la version 7.3.1 : correctif urgent après une vulnérabilité détectée dans la build 7.3
Tails publie une mise à jour corrective : présentation de la 7.3.1Le projet Tails a mis en ligne une version 7.3.1 en urgence après la découverte d’une vulnérabilité dans la build initiale de la 7.3. Les développeurs ont préféré retirer la publication prévue et diffuser rapidement une image corrigée pour préserver l’integrite du système. Cette […]