21 Sites WordPress Infectes en une Nuit : le Retour d'Experience de MogaCode
Dans la nuit du 21 au 22 avril 2026, 21 sites clients heberges sur le compte Infomaniak principal de MogaCode ont ete compromis simultanement. Voici le recit complet — vecteur d'attaque, methode de nettoyage, 14 backdoors supprimees, et les lecons que nous en avons tirees.
La decouverte — 2h du matin
Tout commence par une alerte Wordfence sur un premier site. Un fichier PHP inconnu vient d'etre modifie dans wp-content/plugins/. En ouvrant le fichier, la signature est immediate : un bloc de code obfusque avec une chaine recurrente — cAT3VWynuiL7CRgr.
En croisant cette signature sur les autres sites du meme compte Infomaniak, le constat est sans appel : 21 sites sur 21 contiennent le meme pattern. L'infection est systematique, methodique, et date de plusieurs semaines en arriere.
Le vecteur d'attaque — plugins nulles
L'enquete remonte rapidement a la source. Les plugins incrimines sont tous des versions "nullees" (crackees) de plugins WordPress premium :
- Elementor Pro — version nullee, telecharge depuis un depot non officiel
- Ultimate Elementor (UE) — meme origine
- RevSlider — backdoor incluse dans le code d'activation
Un plugin nulle n'est jamais gratuit. Le "prix" que vous payez, c'est une backdoor persistante qui attend ses instructions. Le hacker active la charge utile quand il le decide — pas au moment de l'installation.
Dans notre cas, la backdoor etait en dormance depuis des semaines. L'activation s'est faite simultanement sur tous les sites le meme soir, probablement via une requete automatisee vers chaque installation compromise.
Deroulement du nettoyage — la nuit du 22 avril
Premiere alerte Wordfence. Identification de la signature cAT3VWynuiL7CRgr sur le premier site. Scan lance sur tous les sites du compte.
21 sites confirmes infectes. Connexion SSH au serveur Infomaniak. Grep recursif sur l'ensemble du compte pour lister tous les fichiers compromis.
Les sites les plus critiques (e-commerce, formulaires de contact) passent en maintenance. Aucun client ne sera notifie d'un incident — le nettoyage sera transparent.
Suppression systematique de chaque backdoor. Sur certains sites, jusqu'a 3 fichiers infectes distincts. Sur le CRM (crm.coden.lu), 14 backdoors individuelles et une archive de 485 MB de donnees exfiltrees.
Remplacement de tous les fichiers WordPress core sur les 21 sites. Suppression de tous les plugins nulles. Installation des versions officielles.
Rotation de tous les mots de passe (WP, BDD, FTP). Regeneration des security keys WordPress. Activation de Wordfence Premium sur tous les sites. Revision des permissions fichiers.
Les 21 sites sont nettoyes, durcis et remis en ligne. Aucune donnee client n'a ete perdue. La coupure de service la plus longue : 4 heures sur un seul site.
Le cas CRM — le plus critique
Notre CRM interne (Perfex, heberge chez Infomaniak) etait le site le plus gravement atteint. 14 backdoors individuelles avaient ete deposees, et une archive de 485 MB etait en cours d'exfiltration vers un serveur externe au moment de la detection.
L'exfiltration a ete interrompue avant completion. L'analyse du contenu de l'archive (partiellement recuperee) montre qu'elle contenait principalement des exports de base de donnees et des fichiers de configuration.
Toutes les credentials ont ete immediatement invalidees et regenerees. Les clients ont ete proactivement informes de la reinitialisation de leurs acces via WhatsApp — sans mentionner l'incident, par une communication de maintenance planifiee.
Ce que nous avons trouve dans les fichiers infectes
Trois patterns recurrents dans les backdoors :
- Eval + base64_decode — execution de code distant encode en base64, presque invisible dans un fichier PHP volumineux
- Shell distant — acces SSH-like depuis un navigateur, permettant d'executer des commandes systeme
- Uploader de fichiers cache — formulaire POST acceptant n'importe quel fichier, camouffle dans un vrai script de plugin
Vous utilisez des plugins nulles ?
Faites auditer votre installation maintenant. Une backdoor peut etre presente depuis des mois sans aucun symptome visible.
Demander un audit gratuitLes lecons — ce que nous avons change
1. Zero tolerance sur les plugins nulles
C'est la lecon la plus evidente, et pourtant la plus ignoree. Un plugin premium coute 50 a 200€ par an. Une infection de ce type coute des dizaines d'heures de travail, des risques RGPD, et potentiellement la confiance de vos clients. Le calcul ne tient pas.
2. Surveillance active sur chaque site
Avant cet incident, Wordfence etait installe sur certains sites mais pas tous. Depuis, chaque site MogaCode a Wordfence Premium actif avec scan quotidien et alerte immediate en cas de modification de fichier.
3. Separation des comptes d'hebergement
21 sites sur le meme compte Infomaniak, c'est pratique pour la gestion — et catastrophique en cas d'infection. Nous avons depuis migre certains sites vers des comptes isoles. Un compromis sur un compte ne doit plus pouvoir contaminer les voisins.
4. Sauvegarde hors-serveur quotidienne
Les sauvegardes Infomaniak existent mais restent sur le meme serveur. Nous avons mis en place des sauvegardes quotidiennes automatiques vers un stockage S3 independant. Si le serveur est compromis, les backups ne le sont pas.
5. Security keys et mots de passe en rotation periodique
Nous avons adopte une rotation trimestrielle des security keys WordPress et des mots de passe de base de donnees sur tous les sites geres. Ce n'est pas standard dans l'industrie — mais apres cette nuit, c'est notre standard.
Checklist post-incident — ce que nous verifions maintenant sur chaque site
- Tous les plugins viennent du depot officiel WordPress.org ou du site de l'editeur — jamais d'une source tierce
- Wordfence Premium actif avec scan quotidien et alerte email + WhatsApp
- Aucun compte administrateur inconnu dans la liste des utilisateurs WP
- Aucun fichier PHP dans wp-content/uploads/
- Security keys WordPress regenerees depuis moins de 6 mois
- Mot de passe BDD different du mot de passe FTP, different du mot de passe WP
- Sauvegarde hors-serveur testee et restaurable
MogaCode Care — la securite qui ne dort pas
Surveillance active, mises a jour, sauvegardes hors-serveur et intervention en cas d'incident. Pour que vous ne viviez jamais cette nuit-la.
Decouvrir MogaCode Care