WordPress : failles critiques dans GutenKit et Hunk Companion exploitées massivement – mettez à jour
Résumé
Des acteurs malveillants exploitent actuellement des vulnérabilités dans deux plugins WordPress populaires, GutenKit et Hunk Companion. Selon la Wordfence Threat Response Unit, ces deux extensions, qui représentent près de 50 000 installations au total, sont victimes d’une campagne d’exploitation massive commencée autour du 8 octobre 2025.
Comment se déroulent les attaques
Les deux plugins exposent une API REST mal configurée qui accepte des requêtes de n’importe quel internaute. Normalement, cette API ne doit être accessible qu’aux administrateurs ou aux utilisateurs authentifiés. En l’état, elle ne vérifie pas correctement les droits, ce qui permet à un attaquant non authentifié d’envoyer des commandes.
Les pirates envoient des commandes contenant l’URL d’un plugin infecté. Le site WordPress vulnérable télécharge, installe et active automatiquement ce plugin malveillant sans authentification ni validation du code. Le plugin installée comprend une porte dérobée permettant d’exécuter des commandes sur le serveur, d’installer d’autres malwares, de modifier le site ou de voler des données.
Mesures recommandées
Les correctifs pour ces failles ont été publiés fin 2024. Les chercheurs rappellent que les attaques ciblent principalement les sites dont les administrateurs n’ont pas appliqué les mises à jour. Ils recommandent donc de :
- Mettre à jour immédiatement : installer GutenKit en version 2.1.1 et Hunk Companion en version 1.9.0 ou ultérieure.
- Vérifier la présence de plugins inconnus ou suspects sur vos sites et les supprimer.
- Restreindre l’accès aux points d’entrée de l’API REST pour qu’ils ne soient accessibles qu’aux utilisateurs authentifiés et aux administrateurs.
- Consulter les journaux et l’historique d’activité pour détecter d’éventuelles commandes suspectes déjà exécutées.
Wordfence indique que son pare-feu a bloqué plus de 8,7 millions de tentatives d’exploitation, ce qui illustre l’ampleur de la campagne menée les 8 et 9 octobre 2025, près d’un an après la divulgation initiale des failles.
Contexte et précédents
Les plugins non mis à jour sont une cause récurrente d’intrusion sur WordPress. Par exemple, le malware DollyWay a compromis plus de 20 000 sites entre 2016 et 2025, souvent via des extensions obsolètes. D’autres incidents récents ont touché des dizaines de milliers, voire des millions, de sites : une faille dans Really Simple Security a exposé plus de quatre millions de sites, et une brèche dans Popup Builder a affecté plus de 3 000 sites.
En résumé : appliquez sans délai les mises à jour recommandées et vérifiez l’intégrité de vos sites pour limiter le risque d’intrusion.
Articles connexes
Se reconvertir dans la cybersécurité : guide pratique pour réussir
Se reconvertir dans la cybersécurité : guide pratique pour réussirLa cybersécurité attire de plus en plus de profils en reconversion. Face à l’augmentation des cyberattaques et à des besoins de recrutement persistants, ce secteur offre des opportunite9s varie9es. Cet article rassemble les principaux points e0 connaeetre pour envisager et re9ussir une transition professionnelle vers la […]
Valeur des données personnelles: ce que révèlent les Français selon la CNIL
Valeur des données personnelles: ce que révèlent les Français selon la CNILLe 17 novembre 2025, la Commission nationale de l’informatique et des libertés (CNIL) a publié des résultats détaillés sur la valeur que les citoyens attribuent à leurs donnees personnelles. Fonde9 sur un sondage mene9 en de9cembre 2024, ce travail offre un eclairage sur la […]
Lighthouse et la ‘Triade du smishing’ : Google accuse un kit de phishing-as-a-service
Lighthouse et la ‘Triade du smishing’ : Google accuse un kit de phishing-as-a-serviceDes SMS frauduleux annonçant un colis qui n’entre pas dans la boîte aux lettres ou un montant de péage impayé sont parmi les scénarios utilisés par des campagnes de smishing. Selon Google, ces arnaques pourraient être largement organisées au moyen d’un kit de […]