Le 8 avril 2026, la plateforme Patchstack a publié une alerte de sécurité critique concernant le plugin WordPress Smart Slider 3 PRO, l’un des sliders premium les plus populaires de l’écosystème WordPress. La version 3.5.1.35 contient un backdoor — un score CVSS de 10/10, soit le niveau de risque le plus élevé qui existe.
Selon Patchstack, cette vulnérabilité est « hautement dangereuse et attendue comme étant exploitée activement », avec un risque de campagnes d’exploitation de masse touchant des milliers de sites simultanément, quelle que soit leur taille ou leur popularité.
🔴 Action immédiate requise : Si vous utilisez Smart Slider 3 PRO, mettez à jour vers la version 3.5.1.36 ou supérieure sans délai. Si votre site a fait tourner la version 3.5.1.35, considérez qu’il est potentiellement compromis et lancez un audit de sécurité complet.
Un backdoor (ou porte dérobée) est un mécanisme caché qui permet à un attaquant de pénétrer un site WordPress à n’importe quel moment, sans passer par les mécanismes d’authentification normaux. Contrairement à une vulnérabilité classique qui nécessite une action de la victime pour être déclenchée, un backdoor actif dans un fichier de plugin tourne silencieusement en arrière-plan.
Les conséquences d’un backdoor peuvent inclure :
Selon les données de Patchstack, les backdoors de niveau CVSS 10 sont traités en priorité absolue car ils permettent une exploitation sans aucune condition préalable — pas besoin d’être authentifié, pas besoin d’interaction utilisateur.
La présence d’un backdoor dans un plugin premium payant soulève immédiatement la question de l’origine. Deux hypothèses principales existent dans ce type de cas :
Un attaquant parvient à s’introduire dans l’infrastructure de développement de l’éditeur du plugin (serveur de build, compte GitHub, système de déploiement) et insère du code malveillant directement dans une version officielle. L’utilisateur qui met à jour son plugin via le tableau de bord WordPress installe alors un fichier officiel… mais piégé.
Un compte avec les droits de publication sur le dépôt officiel est compromis (phishing, credential stuffing, etc.) et utilisé pour pousser une version malveillante.
Dans les deux cas, le résultat est identique : une mise à jour WordPress légitime devient un vecteur d’attaque. C’est l’une des raisons pour lesquelles il est essentiel de scanner son site après chaque mise à jour importante, pas seulement avant.
L’éditeur de Smart Slider 3 PRO a publié un guide de remédiation disponible sur leur documentation officielle. Patchstack précise cependant que « la règle de mitigation ne prévient pas l’exploitation totale du malware qui pourrait avoir déjà été implanté » — autrement dit, si votre site a tournée avec la version 3.5.1.35, une simple mise à jour ne suffit pas : il faut vérifier que le backdoor n’a pas déjà été utilisé pour installer d’autres portes dérobées.
👉 Consultez notre guide : Comment récupérer un site WordPress hacké : Guide de remédiation 2026
Le même jour, Patchstack a également divulgué deux vulnérabilités XSS (Cross-Site Scripting) dans Gravity Forms, l’un des plugins de formulaires les plus répandus au monde (utilisé sur plus de 800 000 sites WordPress).
| Vulnérabilité | Type | CVSS | Correctif |
|---|---|---|---|
| Stored XSS via champ carte de crédit | Non authentifié | 7.1 | Version 2.9.31 |
| Reflected XSS via paramètre form-ids | Non authentifié | 7.1 | Version 2.9.31 |
La première faille — un Stored XSS via le sous-champ « card type » d’un champ carte de crédit — est particulièrement préoccupante car elle ne nécessite pas d’authentification. Un attaquant peut injecter du JavaScript malveillant via un formulaire de paiement, et ce script sera ensuite exécuté chaque fois qu’un administrateur consulte les soumissions dans le back-office.
La seconde faille est un Reflected XSS via le paramètre form-ids, exploitable via un lien forgé envoyé à un administrateur (technique de phishing ciblé).
Pour comprendre en profondeur les mécanismes XSS et comment s’en protéger durablement, consultez notre guide : XSS WordPress : Comment détecter et prévenir les attaques Cross-Site Scripting en 2026
Ces incidents rappellent l’importance d’une posture de sécurité proactive :
Pour une approche systématique de la sécurisation de votre WordPress, retrouvez notre checklist complète des 20 points de sécurité WordPress 2026.
Ces deux alertes s’inscrivent dans un contexte préoccupant pour l’écosystème WordPress. Selon les données de Patchstack, 97% des vulnérabilités WordPress proviennent des plugins et thèmes tiers, et non du cœur de WordPress lui-même. En 2025, plus de 7 000 nouvelles vulnérabilités ont été enregistrées dans l’écosystème WordPress — soit une moyenne de 135 nouvelles failles par semaine.
La menace des backdoors est particulièrement insidieuse car elle contourne la logique habituelle de protection. Un utilisateur qui fait bien les choses — en mettant à jour ses plugins régulièrement — peut paradoxalement se retrouver compromis si le plugin mis à jour est lui-même infecté. C’est le principe des attaques de la chaîne d’approvisionnement (supply chain attacks), qui sont en forte hausse depuis 2024.
En avril 2026, SecuriteWP avait déjà documenté d’autres failles critiques affectant W3 Total Cache, Amelia et WooCommerce Payments. Consultez notre bilan des failles WordPress d’avril 2026 pour une vue d’ensemble.
Utilisez un scanner de sécurité (Wordfence, Sucuri, MalCare) pour analyser vos fichiers. Vérifiez également les logs d’accès Apache/Nginx pour des requêtes inhabituelles vers des chemins liés à Smart Slider. La présence de nouveaux fichiers PHP dans le répertoire du plugin ou de requêtes vers des IP inconnues sont des signes d’alerte. Consultez aussi le guide officiel de Nextend.
Non. La mise à jour supprime le fichier infecté, mais si le backdoor a déjà été activé, il peut avoir installé d’autres portes dérobées dans d’autres répertoires (wp-content/uploads, wp-includes, etc.). Il faut impérativement effectuer un scan complet et vérifier l’intégrité de l’ensemble des fichiers WordPress.
Oui, à condition d’être à jour. La version 2.9.31 corrige les deux vulnérabilités XSS identifiées. Si vous êtes en version 2.9.30 ou antérieure, mettez à jour immédiatement.
Plusieurs mesures réduisent le risque : utiliser uniquement des plugins provenant de sources officielles (WordPress.org ou éditeurs reconnus), activer les alertes de vulnérabilités via un service comme Patchstack ou Wordfence, et mettre en place une surveillance d’intégrité des fichiers qui détecte toute modification non autorisée.
Les alertes d’avril 2026 sur Smart Slider 3 PRO et Gravity Forms sont un rappel brutal que même les plugins premium les plus populaires peuvent devenir des vecteurs d’attaque. Un CVSS 10 pour un backdoor, c’est le niveau d’urgence absolue — comparable à laisser la porte de votre maison grande ouverte avec un panneau indiquant où se trouve le coffre-fort.
La réponse est simple : mettez à jour immédiatement, scannez votre site si vous avez utilisé la version compromise, et adoptez une veille de sécurité régulière. SecuriteWP surveille en permanence les nouvelles vulnérabilités pour vous alerter dès qu’une mise à jour critique est nécessaire.
Les attaques supply chain WordPress ciblent la chaîne de distribution des plugins et thèmes. Découvrez comment elles fonctionnent, les IOC à surveiller et les mesures concrètes pour protéger votre site.
Votre base de données MySQL est le cœur de WordPress : elle contient tout. Découvrez comment la sécuriser avec 8 techniques concrètes pour 2026.
Découvrez quelles permissions de fichiers appliquer sur WordPress (644, 755, 600) pour sécuriser votre installation et éviter les intrusions. Guide complet 2026 avec commandes SSH.
Apprenez à configurer les bonnes permissions de fichiers WordPress (chmod 755/644/640). Guide complet SSH, FTP, WP-CLI pour sécuriser votre site contre les intrusions.
Un backdoor CVSS 10 découvert dans Smart Slider 3 PRO 3.5.1.35 et deux failles XSS dans Gravity Forms 2.9.30 : analyse et mesures d’urgence pour protéger votre site WordPress.
Votre site WordPress a été piraté ? Suivez ce guide de remédiation complet : détection, nettoyage des fichiers infectés, base de données, sécurisation post-hack et demande de révision Google.
Nos experts français assurent un support et une prestation de qualité.
