🛡️ Vulnérabilités·7 min read

WordPress : les 5 vulnérabilités qui ont touché les PME françaises en 2025-2026

Les 5 vulnérabilités WordPress qui ont fait le plus de dégâts dans les PME françaises en 2025-2026 et comment vérifier votre site en 5 minutes.

Vulkan
Vulnérabilités & patch · published on April 26, 2026

TL;DR

WordPress fait tourner 43 % des sites web mondiaux, dont la quasi-totalité des PME françaises. Le cœur est solide, mais les plugins sont une cible permanente. Voici les 5 familles de vulnérabilités qui ont fait le plus de dégâts en 2025-2026, avec les actions à mettre en place ce mois-ci pour protéger votre site.

Pourquoi WordPress concentre les attaques contre les PME

WordPress fait tourner environ 43 % des sites web dans le monde, et probablement plus de 70 % des sites de PME françaises (vitrines, e-commerce avec WooCommerce, blogs métier). Pour un attaquant, c''est l''écosystème idéal : énorme parc, beaucoup de plugins anciens, propriétaires peu techniques.

La vraie surface d''attaque, ce n''est pas le cœur de WordPress (qui est globalement bien tenu par sa fondation) — ce sont les 60 000+ plugins disponibles. Beaucoup sont développés par une seule personne, parfois abandonnés, souvent installés sur des dizaines de milliers de sites.

Le pattern type : un chercheur découvre une faille dans un plugin populaire, la publie comme CVE, et dans les 24-48h des bots scannent automatiquement Internet pour trouver les sites vulnérables. Si votre plugin n''est pas à jour à ce moment-là, vous êtes pris dans le filet.

1. Les SQL injections dans les plugins de formulaire

Famille de vulnérabilités la plus fréquente sur le top 50 des CVE WordPress 2025. Un plugin de formulaire (contact, devis, inscription newsletter) prend une donnée envoyée par l''utilisateur et la concatène directement dans une requête SQL au lieu de l''échapper. Un attaquant injecte du SQL dans le champ « nom » ou « email » et peut lire toute votre base de données — y compris les hashs de mots de passe admin.

Plugins touchés en 2025-2026 : plusieurs versions de Contact Form 7 add-ons, WPForms add-ons tiers, certaines versions d''Elementor add-ons, des plugins Quiz/Sondage anciens.

Action immédiate :

  • Listez vos plugins actifs (Tableau de bord WP → Extensions)
  • Pour chacun, vérifiez la date de dernière mise à jour. Si > 12 mois, considérez le plugin comme abandonné — désinstallez-le et trouvez une alternative
  • Activez les mises à jour automatiques pour les plugins critiques (Tableau de bord WP → Extensions → liens « Activer les mises à jour automatiques »)

2. Les escalades de privilèges via REST API

Depuis WordPress 4.7 (2016), une REST API riche est exposée par défaut. Beaucoup de plugins ajoutent leurs propres endpoints, et certains oublient de vérifier les droits de l''utilisateur appelant. Conséquence : un visiteur non connecté peut, via une simple requête HTTP, créer un nouveau compte administrateur ou modifier un article.

C''est exactement la famille de bugs qui a touché plusieurs plugins majeurs entre 2024 et 2026 (LiteSpeed Cache, plusieurs page builders, des plugins de membership).

Comment savoir si vous êtes touché

Deux signaux à surveiller dans Tableau de bord WP → Utilisateurs :

  • Un compte administrateur que vous ne reconnaissez pas (souvent avec un email en @gmail.com ou @protonmail.com)
  • Une augmentation soudaine du nombre d''utilisateurs « Abonné »

Si vous voyez l''un des deux, considérez votre site comme compromis et lancez la procédure d''incident (changement de tous les mots de passe, audit des fichiers wp-content/uploads, restauration depuis une sauvegarde antérieure à l''intrusion).

3. Les uploads d''exécutables PHP

Plus rare mais plus dévastateur. Un plugin permet à un utilisateur (parfois même non connecté) d''envoyer un fichier sur le serveur, sans vérifier suffisamment son type. L''attaquant envoie un faux JPG qui contient en réalité du code PHP. Quand il accède à monsite.fr/wp-content/uploads/photo.php, le serveur exécute le code → l''attaquant prend la main complète sur le site.

Plugins touchés : plusieurs plugins de galerie photo, des add-ons WooCommerce, des outils d''import CSV.

Comment se protéger ?

  • Utilisez un WAF (Web Application Firewall) au minimum gratuit type Cloudflare. Il bloque les patterns d''attaque connus avant qu''ils n''atteignent votre serveur
  • Configurez votre serveur web pour interdire l''exécution de PHP dans wp-content/uploads/ (ligne dans .htaccess ou bloc location Nginx)
  • Surveillez les fichiers récemment ajoutés dans wp-content/uploads/ qui ne sont pas des images. Un script cron qui liste les .php dans ce dossier et envoie un mail si le compte est > 0 prend 5 minutes à mettre en place

4. Les faiblesses dans l''authentification

WordPress vous laisse mettre admin comme nom d''utilisateur et motdepasse123 comme mot de passe. Et les bots le savent.

En 2025-2026, les attaques par force brute sur wp-login.php représentent encore plus de 30 % du trafic d''attaque sur WordPress (source : Wordfence Threat Report). C''est massif et automatique.

Trois actions concrètes

  1. Renommer le login admin : pas de compte admin, jamais. Si vous l''avez, créez un nouveau compte admin avec un nom non devinable, vérifiez qu''il marche, puis supprimez l''ancien.
  2. Imposer des mots de passe forts + MFA : plugins gratuits comme Wordfence ou Two Factor (officiel WP) permettent d''activer l''authentification à deux facteurs en 10 minutes.
  3. Limiter les tentatives de login : plugin Limit Login Attempts (gratuit, 1M+ d''installations) bloque automatiquement les IP qui font trop d''essais. Indispensable.

5. Le cocktail mortel : thème nulled + plugin pirate

Le scénario qu''on voit régulièrement chez les PME : pour économiser 50€/an, l''agence qui a fait le site a installé un thème premium « gratuit » téléchargé sur un site louche, ou un plugin payant en version « nulled ». Ces fichiers contiennent presque toujours des backdoors préinstallées : code malveillant qui appelle un serveur tiers, redirige le trafic, ou ouvre un accès admin caché.

Comment vérifier ?

  • Lister tous vos thèmes et plugins actifs
  • Pour chacun, retrouver la source officielle (wordpress.org, ou site de l''éditeur)
  • Si vous trouvez un plugin/thème dont l''origine est floue, considérez votre site comme suspect et faites un audit complet

Le seul vrai moyen d''être sûr d''un site WordPress, c''est de ne installer que des plugins/thèmes provenant de sources officielles, à jour, et de désinstaller (pas désactiver) tout ce qui ne sert plus.

L''audit CyberTool détecte les versions WordPress et les empreintes des principaux plugins exposés, et vous indique si une CVE connue affecte la version installée.

Frequently asked questions

Comment savoir si mon site WordPress est vulnérable ?

Quatre vérifications gratuites en 10 minutes : 1) Tableau de bord WP → Mises à jour : aucun élément ne doit être en attente. 2) WPScan (commande gratuite) ou l''audit CyberTool listent les CVE connues sur votre version et vos plugins. 3) Tableau de bord WP → Utilisateurs : aucun compte admin que vous ne reconnaissez pas. 4) Lister vos plugins actifs et vérifier que chacun a été mis à jour il y a moins de 12 mois. Si l''un de ces points cloche, considérez votre site comme à risque et planifiez les corrections cette semaine.

Faut-il activer les mises à jour automatiques de WordPress ?

Oui pour les mises à jour mineures (sécurité), avec une nuance pour les mises à jour majeures. WordPress applique automatiquement les correctifs de sécurité depuis WP 5.6. Pour les mises à jour majeures (5.x → 6.x) et les plugins, vous pouvez activer les mises à jour automatiques par plugin (lien dans Tableau de bord WP → Extensions). Le risque : qu''une mise à jour casse votre thème. La parade : faire une sauvegarde quotidienne automatique (UpdraftPlus gratuit), pour pouvoir revenir en arrière en 5 minutes si besoin.

Mon plugin WordPress n''a pas été mis à jour depuis 2 ans, c''est grave ?

Probablement oui. Un plugin qui n''a pas reçu de mise à jour depuis 2 ans est soit abandonné, soit non maintenu par son auteur — donc aucune CVE découverte ne sera corrigée. Le répertoire WordPress.org marque d''ailleurs ces plugins en rouge avec « N''a pas été testé avec les versions récentes ». Désinstallez-le (pas juste désactivez) et cherchez une alternative active. La désactivation laisse les fichiers sur le serveur, donc la vulnérabilité reste exploitable.

Combien coûte un audit de sécurité WordPress pour une PME ?

L''audit automatisé est gratuit avec CyberTool ou WPScan (5 minutes, score et liste de CVE). Un audit manuel approfondi par un consultant cyber coûte entre 800 et 3 000 € selon la profondeur (revue du code des thèmes custom, tests d''intrusion, audit de configuration serveur). Pour 80 % des PME, l''audit automatisé mensuel + un patch management discipliné suffit largement. Le besoin d''un audit manuel concerne plutôt les sites e-commerce qui traitent de grosses sommes ou stockent des données sensibles.

Cloudflare gratuit suffit-il à protéger mon WordPress ?

C''est une excellente première couche, mais pas suffisant tout seul. Cloudflare gratuit fournit un WAF basique qui bloque les patterns d''attaque connus, du DDoS protection léger, et masque l''IP réelle de votre serveur. Cela arrête 90 % des attaques automatisées. Mais ça ne corrige pas les vulnérabilités sous-jacentes : si un plugin est vulnérable et que Cloudflare ne connaît pas le pattern d''exploit, l''attaque passe. Cloudflare est un complément à un patch management discipliné, pas un substitut.

Related reading