WordPress : cette porte dérobée dans le plugin Gravity Forms menace des milliers de sites web !
Nouvelle alerte de sécurité pour les propriétaires de sites WordPress ! Gravity Forms, un célèbre plugin utilisé par près d'un million de sites web, a été la cible d'une attaque de la chaîne d'approvisionnement. Une version du plugin a été infectée par une porte dérobée. Faisons le point.
Utilisé par environ un million de sites web pour créer des formulaires de contact ou de paiement, Gravity Forms est une extension importante de l'écosystème WordPress. L'incident, révélé par la société PatchStack, met une nouvelle fois en évidence les risques liés à la chaîne d'approvisionnement logicielle, même pour des produits réputés.
Une backdoor dans Gravity Forms
Tout a commencé par un rapport reçu par PatchStack concernant des requêtes suspectes émanant du plugin Gravity Forms, fraîchement téléchargé depuis le site officiel, qui est en principe une source fiable. L'analyse a confirmé la présence d'un fichier malveillant : gravityforms/common.php. Signe que le compte d'un développeur a été compromis.
Ce script a pour objectif de collecter des informations sur le site web WordPress sur lequel le plugin infecté a été déployé : URL, version de WordPress et de PHP, thèmes, plugins installés. Ces données étaient ensuite exfiltrées vers un domaine contrôlé par les attaquants, gravityapi.org, enregistré le 8 juillet dernier.
En retour, le serveur contrôlé par les pirates envoyait une charge utile sous forme de malware PHP encodé en base64. Ce dernier était ensuite sauvegardé sur le serveur de la victime sous le nom wp-includes/bookmark-canonical.php, se faisant passer pour un outil de gestion du contenu pour WordPress.
Le véritable objectif de ce malware était de permettre l'exécution de code à distance (RCE) sur le serveur où se situe le site WordPress, sans nécessiter la moindre authentification.
Un mécanisme spécifique a été utilisé par les pirates, comme l'explique PatchStack dans son rapport : "Toutes ces fonctions peuvent être appelées à partir de la fonction __construct -> init_content_management -> handle_requests -> process_request. Il peut donc être déclenché par un utilisateur non authentifié."
En complément, des investigations menées par RocketGenius, l'éditeur de Gravity Forms, révèlent que le code malveillant ne se contentait pas de mettre en place une porte dérobée. Il y avait d'autres fonctionnalités malveillantes pour assurer un accès persistant :
- Bloquer les futures tentatives de mise à jour du plugin
- Ajouter un compte administrateur caché sur WordPress
Qui est affecté ? Comment se protéger ?
RocketGenius a rapidement réagi en confirmant que seules les versions 2.9.11.1 et 2.9.12, disponibles en téléchargement manuel ou via Composer entre le 10 et le 11 juillet 2025, ont été compromises.
Il y a tout de même un point rassurant : le système de mise à jour automatique n'a pas été affecté. Fort heureusement, compte tenu de la popularité de cette extension.
"Le service Gravity API qui gère les licences, les mises à jour automatiques et l'installation de modules complémentaires à partir du plugin Gravity Forms n'a jamais été compromis. Toutes les mises à jour de paquets gérées par ce service ne sont pas affectées.", peut-on lire.
Le développeur a depuis mis à disposition des instructions pour aider les webmasters à vérifier si leur site a été infecté. Une nouvelle version Gravity Forms 2.9.13 a également été publiée.
Il est fortement recommandé à tous les utilisateurs ayant téléchargé manuellement le plugin depuis le 10 juillet de le réinstaller à partir d'une version saine et d'effectuer un scan complet de leur site WordPress.
