La première semaine d’avril 2026 s’annonce préoccupante pour les administrateurs WordPress. Selon la base de données Patchstack, pas moins de cinq plugins majeurs ont été touchés par des failles de sécurité significatives, dont deux dépassant le seuil critique CVSS 8.0. Ces vulnérabilités concernent des extensions installées sur des centaines de milliers — voire des millions — de sites dans le monde.
Le constat est sans appel : selon le rapport Patchstack 2025, 74 % des attaques WordPress exploitent des failles connues et non corrigées dans les plugins. En d’autres termes, chaque jour sans mise à jour est une fenêtre ouverte pour les attaquants automatisés.
Voici le tour d’horizon complet des vulnérabilités à corriger en priorité, et les actions concrètes à mener pour protéger votre site. Si vous souhaitez d’abord évaluer l’état de votre installation, notre guide sur l’audit de sécurité WordPress complet constitue un excellent point de départ.
Plugin : Amelia (plugin de réservation en ligne)
Version affectée : ≤ 2.1.2
Type : SQL Injection via le paramètre sort
Niveau d’accès requis : Manager (authentifié)
Score CVSS : 8.5 / 10
Amelia est l’un des plugins de réservation les plus populaires de l’écosystème WordPress, avec plus de 60 000 installations actives. La faille découverte permet à un utilisateur disposant du rôle « Manager » d’injecter des commandes SQL arbitraires via le paramètre sort lors de requêtes sur les réservations.
Une injection SQL réussie peut permettre à un attaquant de lire, modifier ou supprimer l’intégralité de la base de données — y compris les données des clients et les informations de paiement. Les sites e-commerce et les prestataires de services (salons, cliniques, restaurants) sont particulièrement exposés.
Action requise : Mettre à jour Amelia vers la version 2.1.3 ou supérieure immédiatement. Pour comprendre les mécanismes des injections SQL et comment les prévenir durablement, consultez notre guide sur les injections SQL WordPress et leur protection en 2026.
Plugin : MW WP Form
Version affectée : ≤ 5.1.0
Type : Déplacement arbitraire de fichiers (Unauthenticated Arbitrary File Move)
Niveau d’accès requis : Aucun (non authentifié)
Score CVSS : 8.1 / 10
Cette faille est particulièrement dangereuse car aucune authentification n’est nécessaire pour l’exploiter. Un attaquant peut déplacer des fichiers temporaires vers des répertoires accessibles publiquement via la fonction move_temp_file_to_upload_dir. Dans le pire des cas, cela peut conduire à l’exécution de code PHP malveillant si un fichier PHP est ainsi déplacé dans un dossier web accessible.
Ce type de vulnérabilité est étroitement lié aux failles d’upload de fichiers, un vecteur d’attaque majeur sur WordPress. Nous en avons analysé les mécanismes en détail dans notre article sur les vulnérabilités d’upload de fichiers WordPress.
Action requise : Mettre à jour MW WP Form vers la version 5.1.1 ou supérieure, ou désactiver le plugin temporairement si la mise à jour n’est pas encore disponible.
Plugin : W3 Total Cache
Version affectée : ≤ 2.9.3
Type : Exposition de jeton de sécurité non authentifié via l’en-tête User-Agent
Niveau d’accès requis : Aucun (non authentifié)
Score CVSS : 7.5 / 10
W3 Total Cache est l’un des plugins de cache les plus installés au monde, avec plus d’un million d’installations actives. La vulnérabilité identifiée expose des jetons de sécurité internes via la manipulation de l’en-tête HTTP User-Agent, sans qu’aucune authentification ne soit requise. Ces jetons pourraient être exploités pour contourner certains mécanismes de protection ou pour effectuer des actions non autorisées en arrière-plan.
L’ampleur de cette faille est considérable compte tenu du nombre de sites concernés. Si vous utilisez ce plugin, la mise à jour doit être traitée en priorité absolue.
Action requise : Mettre à jour W3 Total Cache vers la version 2.9.4 ou supérieure.
Plugin : WooCommerce Payments (WooPayments)
Version affectée : ≤ 10.5.1
Type : Missing Authorization — Mise à jour non authentifiée des paramètres du plugin via AJAX
Niveau d’accès requis : Aucun (non authentifié)
Score CVSS : 6.5 / 10
WooCommerce Payments — la solution de paiement intégrée de WooCommerce — est affectée par une faille d’autorisation manquante sur l’action AJAX save_upe_appearance. Un attaquant non authentifié peut modifier certains paramètres d’apparence du plugin, ce qui pourrait potentiellement être utilisé pour injecter du contenu malveillant ou perturber le processus de paiement.
Pour les boutiques en ligne, cette faille s’ajoute à la liste des menaces spécifiques à WooCommerce. Retrouvez l’ensemble des bonnes pratiques dans notre guide complet de sécurité WooCommerce 2026.
Action requise : Mettre à jour WooCommerce Payments vers la version 10.5.2 ou supérieure.
Plugin : Gravity SMTP
Version affectée : ≤ 2.1.4
Type : Exposition non authentifiée de données sensibles via l’API REST
Niveau d’accès requis : Aucun (non authentifié)
Score CVSS : 7.5 / 10
Gravity SMTP, le plugin d’envoi d’emails pour les utilisateurs de Gravity Forms, expose des informations sensibles (configurations SMTP, potentiellement des identifiants de serveur mail) via un endpoint de l’API REST accessible sans authentification. Un attaquant peut ainsi récupérer des données de configuration critiques pouvant mener à des attaques de type phishing ou spam via votre serveur.
Action requise : Mettre à jour Gravity SMTP vers la version 2.1.5 ou supérieure. En attendant, envisagez de restreindre l’accès à votre API REST WordPress.
La première ligne de défense reste simple : mettre à jour tous vos plugins dès qu’un correctif est disponible. Activez les mises à jour automatiques pour les plugins critiques depuis l’écran « Extensions » de votre tableau de bord WordPress. Pour les plugins premium ou complexes, testez d’abord sur un environnement de staging.
Abonnez-vous aux alertes de Patchstack, Wordfence ou du NVD NIST pour être informé dès qu’une vulnérabilité affecte vos plugins. SecuriteWP publie également un bilan mensuel des failles les plus importantes.
La faille Amelia nécessite le rôle « Manager ». Limitez les rôles WordPress au strict nécessaire : chaque compte disposant de droits élevés est un vecteur d’attaque potentiel. Révisez régulièrement votre liste d’utilisateurs.
Un Web Application Firewall peut bloquer certaines tentatives d’exploitation — notamment les injections SQL et les requêtes malformées — même avant qu’une mise à jour soit appliquée. Wordfence, Sucuri ou Cloudflare WAF sont des options éprouvées.
En cas d’exploitation réussie, une sauvegarde récente est votre meilleure assurance. Automatisez les sauvegardes hors-site (UpdraftPlus + stockage cloud) et testez régulièrement leur restauration.
Amelia (CVSS 8.5) et MW WP Form (CVSS 8.1) sont les deux plus critiques. Cependant, W3 Total Cache (CVSS 7.5) est probablement celui qui touche le plus de sites en volume, avec plus d’un million d’installations. Commencez par W3 Total Cache si vous ne savez pas quoi prioriser.
Examinez vos logs d’accès serveur pour des requêtes suspectes, utilisez un plugin de scan comme Wordfence ou Malcare, et vérifiez l’intégrité de vos fichiers PHP. Notre guide d’audit de sécurité WordPress détaille les étapes complètes d’investigation.
Pas systématiquement. Selon une étude Patchstack (janvier 2026), seulement 26 % des attaques exploitant des vulnérabilités connues sont bloquées par les hébergeurs. La protection au niveau de votre site reste indispensable.
Désactivez le plugin temporairement si possible, bloquez l’accès via votre WAF, et appliquez des règles de filtrage spécifiques. Pour Gravity SMTP, restreindre les endpoints REST API est une mitigation efficace à court terme.
Les cinq vulnérabilités révélées cette semaine illustrent une réalité incontournable : la sécurité WordPress exige une vigilance constante. Des plugins utilisés par des millions de sites — W3 Total Cache, WooCommerce Payments — peuvent présenter des failles critiques à tout moment. La rapidité de réaction est votre meilleur atout.
Pour un cadre de protection complet et durable, référez-vous à notre checklist sécurité WordPress 2026 : 20 points indispensables pour protéger votre site efficacement.
Besoin d’un accompagnement professionnel ? L’équipe SecuriteWP est spécialisée dans l’audit, la remédiation post-hack et la mise en place de protections pérennes pour les sites WordPress.
Les attaques supply chain WordPress ciblent la chaîne de distribution des plugins et thèmes. Découvrez comment elles fonctionnent, les IOC à surveiller et les mesures concrètes pour protéger votre site.
Votre base de données MySQL est le cœur de WordPress : elle contient tout. Découvrez comment la sécuriser avec 8 techniques concrètes pour 2026.
Découvrez quelles permissions de fichiers appliquer sur WordPress (644, 755, 600) pour sécuriser votre installation et éviter les intrusions. Guide complet 2026 avec commandes SSH.
Apprenez à configurer les bonnes permissions de fichiers WordPress (chmod 755/644/640). Guide complet SSH, FTP, WP-CLI pour sécuriser votre site contre les intrusions.
Un backdoor CVSS 10 découvert dans Smart Slider 3 PRO 3.5.1.35 et deux failles XSS dans Gravity Forms 2.9.30 : analyse et mesures d’urgence pour protéger votre site WordPress.
Votre site WordPress a été piraté ? Suivez ce guide de remédiation complet : détection, nettoyage des fichiers infectés, base de données, sécurisation post-hack et demande de révision Google.
Nos experts français assurent un support et une prestation de qualité.
