Alerte sécurité WordPress mai 2026 : XSS stockée dans Elementor 4.0.4, injections SQL CVSS 9.3 dans FunnelKit et Order Delivery Date, escalade de privilèges LatePoint. Mettez à jour immédiatement.
La première semaine de mai 2026 confirme une tendance lourde : les plugins WordPress les plus populaires restent des cibles de choix. Cinq nouvelles vulnérabilités significatives ont été divulguées sur la base de données Patchstack entre le 28 avril et le 1er mai 2026, dont deux injections SQL de gravité maximale (CVSS 9.3) et une escalade de privilèges permettant à un compte non-administrateur de devenir administrateur WordPress.
Selon Patchstack, 96 % des vulnérabilités WordPress proviennent des plugins, et un site sur trois utilise au moins l’un des plugins concernés par ces nouvelles alertes. Si vous utilisez Elementor, FunnelKit, Order Delivery Date for WooCommerce ou LatePoint, une mise à jour immédiate s’impose.
Retrouvez le bilan du mois précédent dans notre article Failles WordPress Avril 2026 pour mesurer l’accélération du rythme de divulgation.
Un utilisateur avec un rôle Contributor (souvent accordé aux rédacteurs invités ou aux testeurs) peut injecter du JavaScript malveillant via l’API REST d’Elementor. Ce script est ensuite exécuté dans le navigateur de tout administrateur qui consulte la page ou le widget concerné, permettant le vol de cookies de session, la création de comptes admin fantômes ou l’installation de plugins malveillants — sans que l’administrateur s’en aperçoive.
Avec 10 millions de sites utilisant Elementor, l’impact potentiel est massif. Pour comprendre la mécanique des attaques XSS et leurs contre-mesures, consultez notre guide XSS WordPress : détecter et prévenir les attaques.
Une injection SQL de score CVSS 9.3 est classifiée comme critique. Elle permet à un attaquant d’extraire l’intégralité de la base de données MySQL WordPress : identifiants, mots de passe hashés, données clients WooCommerce, emails, informations de paiement. Dans les cas les plus graves, une injection SQL peut également permettre l’écriture de fichiers sur le serveur.
FunnelKit est largement utilisé par les boutiques WooCommerce pour créer des tunnels de vente. Si vous gérez des données clients, la mise à jour est non négociable. Pour les mesures défensives en profondeur, voir notre guide sur les injections SQL WordPress.
Second plugin WooCommerce touché par une injection SQL CVSS 9.3 cette semaine. Order Delivery Date est utilisé par des dizaines de milliers de boutiques en ligne pour gérer les dates de livraison. L’exploitation peut conduire à la fuite de l’ensemble des données de commandes — y compris les adresses de livraison et les informations personnelles des clients, avec des implications RGPD immédiates.
Cette vulnérabilité est particulièrement dangereuse dans les sites de services avec plusieurs employés (salons, cliniques, cabinets) où des comptes « agent » LatePoint sont accordés à du personnel externe. Via la fonctionnalité connect-customer-to-wp-user, un agent malveillant peut s’attribuer des droits administrateur WordPress complets — accès total au tableau de bord, installation de plugins, création d’utilisateurs et exfiltration de données.
Un score CVSS 9.8 classe cette vulnérabilité parmi les plus graves de l’écosystème WordPress. La PHP Object Injection peut mener à l’exécution de code arbitraire (RCE) sur le serveur si un « gadget chain » exploitable est présent dans les dépendances. Si vous utilisez le thème AI Lab, la mise à jour est une urgence absolue — ou désactivez-le immédiatement en attendant le correctif.
Pour une vérification complète de votre posture de sécurité, suivez notre checklist sécurité WordPress 2026.
Partiellement. Les pare-feux comme Wordfence ou Patchstack peuvent bloquer certaines tentatives d’exploitation connues via leurs règles de firewall. Cependant, la mise à jour reste la seule protection garantie. Un WAF peut être contourné par des variantes d’exploitation non encore cataloguées. Ne substituez pas un WAF à des mises à jour.
Vérifiez : (1) la liste des administrateurs WordPress pour détecter tout compte inconnu, (2) les fichiers récemment modifiés dans wp-content/, (3) les logs d’accès du serveur pour des requêtes POST anormales vers l’API REST ou les endpoints WooCommerce. En cas de doute, consultez notre guide pour récupérer un site WordPress hacké.
Les détails techniques complets ne sont pas encore publics (divulgation responsable en cours). Cependant, un score CVSS 9.3 sur une injection SQL indique généralement une exploitabilité élevée avec peu ou pas de prérequis d’authentification. Considérez ces vulnérabilités comme critiques même sans confirmation publique du vecteur exact.
Cinq vulnérabilités significatives en moins d’une semaine, dont deux CVSS 9.3 et un CVSS 9.8 — ce rythme illustre pourquoi la veille de sécurité WordPress n’est plus optionnelle. Abonnez-vous aux alertes de Patchstack ou activez les notifications Wordfence sur votre site pour être alerté en temps réel dès qu’un plugin que vous utilisez est affecté.
La règle reste la même : mettre à jour dès qu’un correctif est disponible. Le délai entre la divulgation d’une faille et son exploitation active par des scripts automatisés se compte désormais en heures, pas en jours.
Vous gérez plusieurs sites WordPress ? SecuriteWP propose un service de surveillance et maintenance incluant la veille CVE, les mises à jour supervisées et l’audit de sécurité régulier.
Découvrez comment mettre en place un système de monitoring WordPress efficace : journalisation des connexions, alertes en temps réel, plugins recommandés et intégration SIEM pour détecter toute intrusion.
Le credential stuffing cible des millions de sites WordPress via des bases de données de mots de passe volés. Découvrez comment détecter, bloquer et vous prémunir contre cette attaque en 2026.
Comment forcer HTTPS et configurer HSTS sur WordPress en 2026 : 4 méthodes testées, configuration HSTS Preload, correction des erreurs Mixed Content et sécurisation SSL complète.
Apprenez à surveiller l’intégrité des fichiers WordPress pour détecter backdoors, webshells et modifications malveillantes avant qu’il ne soit trop tard. Guide complet 2026.
L’éditeur de fichiers WordPress natif est l’une des portes d’entrée les plus exploitées lors d’une compromission. Découvrez comment le désactiver en une ligne et durcir votre installation WordPress.
cPanel cumule en 2026 une faille d’authentification critique (CVE-2026-41940, CVSS 10.0) exploitée activement et des hausses tarifaires de +400% en 5 ans. Des sites e-commerce ont été ransomwés. Est-il encore raisonnable de lui faire confiance ?
Nos experts français assurent un support et une prestation de qualité.
