Pour mon client topoutremer.com, j’ai migré son ancien site Joomla vers WordPress. L’objectif : résoudre les problèmes de mises à jour qui l’empêchaient de publier de nouveaux articles. J’ai ainsi reconstruit une version identique, mais plus stable et facile à maintenir.
Tout allait bien… jusqu’à ce qu’un compte administrateur inconnu apparaisse.
Découverte du problème
Un jour, mon client m’a signalé la présence d’articles en russe et en anglais sur le site, sans qu’il ne les ait publiés.
En vérifiant le tableau de bord WordPress, j’ai trouvé un compte admin étrange :
- Nom d’utilisateur :
adminbackup - Email :
adminbackup@wordpress.org
Le nom donnait une impression de légitimité, mais c’était bien un intrus.
Je l’ai supprimé depuis /wp-admin, mais quelques secondes plus tard… il revenait automatiquement.
Tentatives de suppression manuelle
Pensant à un bug, je suis allé plus loin :
- Suppression du compte directement depuis phpMyAdmin dans la table
wp_users - Vérification des rôles dans la table
wp_usermeta
Mais le compte revenait encore. C’est là que j’ai compris qu’un script malveillant tournait en arrière-plan.
Enquête : un plugin déguisé en patch
En explorant les fichiers du site via FTP, j’ai découvert un dossier suspect dans :
Commentaires