Je suis Benjamin Bueno, expert en sécurité WordPress chez SécuritéWP, et aujourd’hui je souhaite vous alerter sur une faille critique qui a récemment touché plus de 100 000 sites WordPress utilisant le plugin AI Engine. Cette vulnérabilité, découverte en mai 2025, permettait à des utilisateurs authentifiés, même avec de simples droits de souscripteur, d’obtenir des privilèges administrateur via le module MCP (Model Context Protocol). Je vais vous expliquer en détail cette faille, son impact, les mesures correctives, et comment vous protéger efficacement.
Comprendre la faille de privilège dans AI Engine
Le plugin AI Engine, très populaire pour intégrer l’intelligence artificielle à WordPress, a introduit récemment le support du protocole MCP. Ce module permet à des agents IA (comme ChatGPT ou Claude) de piloter le site WordPress en exécutant des commandes avancées : gestion des médias, modification des utilisateurs, édition de contenus, etc.
Le problème majeur résidait dans la fonction can_access_mcp() du plugin, qui vérifiait de façon insuffisante les droits d’accès. Par défaut, tous les utilisateurs connectés pouvaient accéder au MCP, et donc exécuter des commandes critiques comme wp_update_user (changement de rôle utilisateur), wp_create_user, ou encore la modification et suppression de contenus (wp_update_post, wp_delete_post, etc.). Même lorsque l’authentification par Bearer Token était activée, une faille de logique permettait de contourner la vérification si le token était vide ou absent.
En clair, un simple utilisateur abonné pouvait, si le module MCP était activé (option désactivée par défaut mais parfois utilisée en développement), s’octroyer les droits administrateur et prendre le contrôle total du site. Cela ouvrait la porte à des attaques graves : installation de malwares, création de backdoors, modification de contenus, redirections malveillantes, etc.
Détails techniques et chronologie
- Versions affectées : 2.8.0 à 2.8.3 du plugin AI Engine
- Score CVSS : 8.8 (élevé)
- Correctif : version 2.8.4
- Découverte : 21 mai 2025 par l’équipe Wordfence
- Patch publié : 18 juin 2025
- Protection Wordfence Premium : 22 mai 2025
- Protection Wordfence Free : 21 juin 2025
L’équipe Wordfence a immédiatement contacté le développeur du plugin, Jordy Meow, qui a réagi avec une grande réactivité. Le correctif a consisté à restreindre l’accès au MCP uniquement aux administrateurs, et à renforcer la vérification du Bearer Token.
Pourquoi cette faille est-elle critique ?
Une élévation de privilège est l’une des failles les plus dangereuses sur WordPress. Un attaquant qui obtient les droits administrateur peut tout faire : installer des extensions malveillantes, injecter du code, voler des données, ou même effacer le site. Si vous avez activé le module MCP pour des tests ou des développements, il est impératif de mettre à jour immédiatement le plugin AI Engine en version 2.8.4 ou supérieure.
Comment vous protéger ?
- Mettez à jour immédiatement le plugin AI Engine vers la version 2.8.4 ou supérieure.
- Désactivez le module MCP si vous ne l’utilisez pas.
- Vérifiez les utilisateurs de votre site et supprimez tout compte suspect.
- Surveillez les logs pour détecter toute activité anormale.
- Installez un pare-feu WordPress (comme Wordfence) pour bloquer les tentatives d’exploitation.
Nos services pour une sécurité maximale
En tant qu’experts en réparation d’urgence WordPress, nous proposons une analyse complète de votre site, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité. Si vous pensez avoir été victime de cette faille ou d’une autre attaque, contactez-nous sans attendre : notre équipe intervient rapidement pour restaurer et sécuriser votre site.
Notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes automatiques et une surveillance 24/7, avec la possibilité d’un hébergement Premium en France pour une tranquillité d’esprit totale.
Pour optimiser votre visibilité en ligne, nous offrons également des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés. Un site sécurisé et bien référencé, c’est la garantie d’une présence web pérenne et performante.
Conclusion
La faille du plugin AI Engine rappelle l’importance de la vigilance et de la réactivité en matière de sécurité WordPress. Ne laissez pas une vulnérabilité mettre en péril votre activité : mettez à jour vos extensions, surveillez vos accès, et faites-vous accompagner par des professionnels.
Pour toute question, besoin d’un audit ou d’une intervention d’urgence, contactez-moi directement. Ensemble, protégeons votre site WordPress et développons votre présence en ligne en toute sérénité.
Benjamin Bueno, Expert en Sécurité WordPress chez SécuritéWP
