scroll

Une faille critique dans un plugin WordPress populaire menace 20 000 sites

Sommaire

Introduction

Début janvier 2026, les chercheurs de Wordfence ont publié une alerte concernant une faille de sécurité critique présente dans le plugin WordPress LA-Studio Element Kit, utilisé en complément du constructeur de pages Elementor. Cette vulnérabilité, identifiée sous la forme d’une backdoor, exposerait activement plus de 20 000 sites à des attaques.

Détails de la vulnérabilité

Le plugin LA-Studio Element Kit inclut une backdoor volontaire introduite dans les dernières versions. Découvert lors d’une analyse par l’équipe de Threat Intelligence de Wordfence, ce composant malveillant permet aux attaquants d’exécuter arbitrairement du code PHP sur le serveur des victimes, sans authentification. La présence d’un code obfusqué appelant une URL tierce, contrôlée à distance, rend cette attaque particulièrement dangereuse.

Impacts sur les sites WordPress

Au moment de la découverte, plus de 20 000 sites Web utilisaient ce plugin. La porte dérobée permet des actions à haut risque, comme :

  • L'ajout d'administrateurs non autorisés
  • L'exécution de scripts PHP à distance
  • La prise de contrôle complète de l’installation WordPress
  • La compromission de la chaîne de mise à jour des plugins

Ces vulnérabilités rendent les sites exposés à l’injection de malware, au phishing ou encore à la perte totale de données.

Mesures de protection recommandées

Face à cette urgence de sécurité, Wordfence recommande de :

  • Désactiver immédiatement le plugin LA-Studio Element Kit
  • Supprimer définitivement les fichiers associés
  • Scanner le site avec un outil tel que Wordfence
  • Modifier l’ensemble des mots de passe d’administration
  • Mettre à jour WordPress et tous les plugins utilisés

Un pare-feu de sécurité WordPress (WAF) peut également bloquer les appels vers l’URL malveillante contenue dans le plugin.

Analyse technique de la faille

Wordfence a identifié un fichier PHP dans le plugin appelé la-studio-core.php, lequel inclut dynamiquement un code distant depuis un domaine tiers. Ce dernier est conçu pour injecter arbitrairement des fonctions PHP sur le serveur WordPress. Le trafic HTTP observé montre que ce code tente régulièrement de se connecter à un serveur externe afin de recevoir des instructions, typique des mécanismes C2 (command and control).

Que doivent faire les utilisateurs concernés ?

Pour les utilisateurs ayant installé le plugin :

  • Stop immédiat : couper le plugin en urgence
  • Scan : utiliser un scanner WordPress pour détecter toute activité suspecte
  • Nettoyage : retirer toute trace du plugin, réparer les permissions et nettoyer les fichiers infectés
  • Audit complet : contrôle des comptes utilisateurs, logs serveur, modifications de fichiers récents

Les agences web ou développeurs travaillant avec Elementor et ce plugin doivent notifier leurs clients et mettre en place un processus d’assainissement complet.

Conclusion

Les failles de sécurité dans les plugins WordPress représentent une menace toujours croissante dans un écosystème open source exploité par plus de 40 % du web mondial. La porte dérobée découverte dans LA-Studio Element Kit souligne à quel point la transparence, la maintenance régulière et l’audit des extensions sont essentiels. Dans ce cas précis, la vulnérabilité n'était pas le résultat d'une erreur accidentelle, mais d’une intention malveillante intégrée dans le code. La vigilance reste donc la meilleure arme contre de telles compromissions, et les solutions de sécurité deviennent incontournables pour tous les administrateurs de sites WordPress.

Thématique : Cybersécurité Wordpress

Sujet principal : Faille de sécurité dans le plugin LA-Studio Element Kit pour Elementor

Source : https://www.wordfence.com/blog/2026/01/20000-wordpress-sites-affected-by-backdoor-vulnerability-in-la-studio-element-kit-for-elementor-wordpress-plugin/