seolounge
Smart Slider 3 Pro demande une vraie vérification sécurité WordPress. L’incident concerne une extension très installée, un canal de mise à jour compromis et une version Pro capable d’ajouter du code malveillant sur un site sans alerte claire dans le tableau de bord.
Le sujet mérite ton attention si tu utilises Smart Slider 3 Pro sur un site vitrine, une boutique WooCommerce, un blog média ou une landing page qui dépend d’un carrousel en page d’accueil. Une extension de slider paraît souvent décorative. Dans les faits, elle tourne avec du PHP, charge des fichiers, communique avec le serveur et peut donner un accès sensible si son paquet de mise à jour n’est plus sain.
- Smart Slider 3 Pro 3.5.1.35 a été diffusé avec un paquet compromis.
- La version saine à installer est Smart Slider 3 Pro 3.5.1.36 ou une version plus récente.
- Le risque concerne les sites ayant installé ou mis à jour la version Pro 3.5.1.35, même brièvement.
- Le code malveillant pouvait créer un compte administrateur, modifier des options WordPress et garder un accès actif.
- Une simple mise à jour ne suffit pas toujours si un compte ou un fichier parasite existe déjà.
Pourquoi Smart Slider 3 Pro inquiète WordPress
Smart Slider 3 sert à créer des sliders, des blocs visuels, des en-têtes animés et des zones promo sans coder toute l’interface à la main. La version gratuite est très répandue, et la version Pro équipe aussi beaucoup de sites qui veulent des modèles avancés, des effets, des intégrations ou des contrôles plus fins.
Le point sensible ne vient pas d’un formulaire public à remplir ou d’un réglage mal protégé dans une page admin. Le paquet Pro 3.5.1.35 téléchargé depuis le système de mise à jour a été compromis. En clair, le danger arrive pendant une action normale. Tu mets à jour une extension payante, tu penses corriger ou améliorer ton site, et tu peux recevoir un fichier qui ne correspond pas au paquet attendu.
C’est ce qui rend ce type d’incident pénible à auditer. Un propriétaire de site voit une mise à jour disponible, clique, puis continue sa journée. Aucun formulaire suspect, aucune page inconnue, aucun gros message rouge forcément visible. L’activité anormale peut rester dans les fichiers, les options ou les comptes utilisateurs.
Ce que faisait le paquet compromis
Les analyses publiées autour de Smart Slider 3 Pro décrivent un paquet capable d’exécuter plusieurs actions gênantes pour un site WordPress. La partie la plus visible concerne la création possible d’un compte administrateur. C’est le genre de trace qu’il faut chercher tout de suite, car un accès admin suffit à installer une extension, changer un thème, injecter du contenu, modifier les redirections ou créer de nouveaux accès.
Le code observé pouvait aussi intervenir sur des options WordPress. Là, le risque devient plus discret. Une option modifiée peut changer un comportement, garder un accès persistant, préparer une redirection ou faciliter une action ultérieure. Quand tu fais ton contrôle, il ne faut donc pas regarder uniquement la page Extensions.
La version corrigée 3.5.1.36 a été publiée pour remplacer le paquet problématique. C’est la première action à mener si le plugin est encore présent sur ton site. Mais la mise à jour corrige le paquet distribué, elle ne supprime pas mécaniquement tout ce qui aurait pu être créé pendant l’incident. Si un compte admin a été ajouté avant le patch, il peut rester actif.
Ouvre la liste des utilisateurs WordPress et trie par rôle administrateur. Tout compte récent, inconnu ou lié à une adresse étrange mérite une suspension immédiate avant enquête.
Les versions à contrôler sans attendre
Le réflexe le plus utile consiste à reconstruire ce qui s’est passé sur ton site. Tu dois savoir si Smart Slider 3 Pro était installé, si la mise à jour 3.5.1.35 a été appliquée, à quelle date, puis si la version 3.5.1.36 ou une version ultérieure a remplacé le paquet.
Dans beaucoup de back offices, l’historique précis des mises à jour n’est pas agréable à lire. Tu peux donc croiser plusieurs indices. Regarde la date de modification du dossier du plugin, les sauvegardes, les journaux de ton hébergeur, les emails envoyés par WordPress et les traces de connexion admin. Si ton hébergeur propose un journal d’activité, consulte les événements du jour où la mise à jour Pro a été lancée.
| Élément | Ce que tu cherches | Réflexe utile |
|---|---|---|
| Version Pro | 3.5.1.35 installée ou passée dans l’historique | Mettre en 3.5.1.36 ou plus récent |
| Comptes admin | Utilisateur inconnu créé récemment | Désactiver puis changer les mots de passe |
| Dossier plugin | Fichiers modifiés hors mise à jour saine | Comparer avec une copie propre |
| Options WordPress | Valeurs ajoutées ou changées sans action connue | Exporter puis corriger avec prudence |
| Logs serveur | Connexions admin et requêtes autour de la mise à jour | Isoler les IP et heures suspectes |
Ce que tu vérifies dans ton admin
Commence par la zone la plus simple. Va dans Extensions, cherche Smart Slider 3 Pro, note la version actuelle et force la mise à jour si tu n’es pas au moins en 3.5.1.36. Ensuite, ne quitte pas ton tableau de bord trop vite. Passe dans Utilisateurs, filtre les administrateurs, puis contrôle chaque compte. Un compte que tu ne reconnais pas doit être bloqué avant d’être supprimé, le temps de vérifier s’il a publié, modifié ou créé quelque chose.
Regarde aussi les rôles modifiés. Certains pirates évitent le compte admin trop visible et changent les capacités d’un rôle existant. Si tu utilises un plugin de rôles, compare les capacités avec une sauvegarde ou un site de staging sain. Un éditeur qui reçoit des droits d’installation d’extension, ce n’est pas normal.
Dans Réglages, parcours les URL du site, les options de lecture, les redirections, les scripts ajoutés par le thème ou un constructeur, puis les modules de cache. Un site compromis peut servir une page propre aux visiteurs connectés et une version différente aux moteurs de recherche. Si ton trafic Google bouge bizarrement, ajoute Search Console à ton contrôle.
Les fichiers à inspecter côté serveur
La page admin ne montre qu’une partie de l’audit. Pour un contrôle propre, ouvre le gestionnaire de fichiers de ton hébergement ou utilise SFTP. Le dossier à inspecter se trouve dans wp-content/plugins. Cherche le dossier de Smart Slider 3 Pro, regarde les dates de modification, puis compare avec un paquet propre récupéré depuis ton espace client Nextend.
Tu dois aussi surveiller les fichiers PHP récents hors du dossier attendu. Un incident de mise à jour peut ajouter un fichier ailleurs, notamment dans wp-content/uploads, dans un dossier de cache, dans un mu plugin ou dans un thème enfant. La présence d’un fichier PHP récent dans uploads demande une vérification immédiate.
Si tu as WP CLI, tu peux lister les utilisateurs, vérifier les rôles, exporter les options et contrôler les plugins. Sans WP CLI, ton hébergeur peut fournir des logs et des dates de modification. Le but n’est pas de supprimer au hasard. Le but est de savoir si ton site a seulement reçu la mise à jour corrigée ou si une action malveillante a eu le temps de s’installer.
Cherche les fichiers modifiés le jour de la mise à jour Smart Slider 3 Pro. Si tu trouves du PHP récent dans uploads, cache ou mu plugins, mets le site en maintenance et fais une copie avant nettoyage.
Pourquoi Google peut être touché
Un accès administrateur sur WordPress ne sert pas seulement à dégrader le site. Il peut servir à publier des pages parasites, poser des redirections, injecter des liens, créer des snippets indésirables ou modifier des templates. Le propriétaire voit parfois un site normal, pendant que Googlebot reçoit une page différente ou que des URL spam apparaissent dans l’index.
Si ton site utilise Smart Slider 3 Pro et que tu as appliqué la mise à jour douteuse, ouvre Search Console. Regarde les pages indexées récentes, les requêtes inconnues, les erreurs d’exploration et les URL découvertes que tu n’as jamais créées. Tape aussi quelques recherches avec ton domaine et des mots liés au spam. Ce n’est pas agréable, mais ça permet de repérer vite une pollution SEO.
Le nettoyage doit ensuite être méthodique. Supprime les comptes inconnus, change les mots de passe, renouvelle les clés de sécurité WordPress, nettoie les fichiers, purge le cache, puis demande une nouvelle exploration des pages touchées. Si des URL parasites ont été indexées, réponds page par page au lieu de tout renvoyer vers la page d’accueil.
Comment réduire le risque maintenant
La première mesure reste la plus nette. Mets Smart Slider 3 Pro à jour depuis une source officielle et vérifie que tu es sur une version saine. Si tu n’as plus besoin du plugin, désinstalle le proprement. Une extension inactive mais installée ajoute encore du code sur le serveur, des fichiers, parfois des tâches ou des données.
Ensuite, active une journalisation des actions admin si ton site n’en a pas. Tu dois pouvoir répondre à des questions simples. Qui s’est connecté, quand, depuis quelle IP, quelle extension a été installée, quel fichier a changé, quel compte a été créé. Sans historique, l’analyse reste incomplète.
Renforce aussi la connexion. Double authentification, mots de passe renouvelés, comptes admin limités, suppression des accès inutilisés. Un paquet compromis crée déjà assez de stress. Ne laisse pas des identifiants faibles augmenter le risque.
Maillage utile pour durcir ton WordPress
Si ce contrôle révèle des réglages oubliés, profite du moment pour renforcer le reste. Commence par lire notre article sur la backdoor WordPress dans Quick Page Post Redirect, car le risque de mise à jour hors circuit officiel y ressemble fortement. Tu peux aussi regarder le dossier Essential Plugin WordPress piraté pour comprendre comment un plugin populaire peut polluer Search Console après coup.
Pour compléter l’audit, garde sous la main notre point sur la faille ARMember WordPress si ton site gère des membres, et notre méthode pour protéger WordPress des attaques brute force. Une extension compromise et des accès admin trop ouverts augmentent vite le risque.
FAQ Smart Slider 3 Pro
Smart Slider 3 Pro 3.5.1.35 est il dangereux
Oui si cette version a été installée depuis le paquet compromis. Mets le plugin en 3.5.1.36 ou plus récent, puis vérifie les comptes admin et les fichiers modifiés.
La mise à jour Smart Slider 3 Pro suffit elle
Elle remplace le paquet compromis, mais elle ne retire pas forcément un compte admin, une option modifiée ou un fichier posé avant le patch. Un contrôle reste nécessaire.
Que faire si je trouve un compte admin inconnu
Bloque le compte, change les mots de passe, renouvelle les clés WordPress, contrôle les fichiers récents et vérifie Search Console pour repérer des URL parasites.
