Chaque semaine, de nouvelles failles sont découvertes dans l’écosystème WordPress. Mars 2026 n’échappe pas à la règle — et les chiffres donnent à réfléchir. Une étude récente de Patchstack, l’un des leaders mondiaux de la sécurité WordPress, révèle que 74 % des attaques exploitant des vulnérabilités connues réussissent, même sur des hébergements présentés comme « sécurisés ». Voici les failles à patcher d’urgence ce mois-ci.
Cloudflare, pare-feu intégré, WAF sur-mesure… Les hébergeurs rivalisent d’arguments sécurité. Mais Patchstack a conduit deux séries de tests sur plusieurs hébergeurs majeurs en utilisant des vulnérabilités réellement exploitées dans la nature.
Résultat sans appel : lors du premier test, 88 % des attaques aboutissaient à une prise de contrôle complète du site. Lors du second test élargi, ce chiffre descendait à 74 % — ce qui reste alarmant.
« C’était inquiétant de constater que nombre de vulnérabilités n’avaient toujours pas été traitées par des entreprises pourtant testées précédemment. » — Kevin Ohashi, WPHostingBenchmarks.com
Ce que cela signifie concrètement : vous ne pouvez pas déléguer votre sécurité à votre hébergeur. La mise à jour de vos plugins reste votre première ligne de défense. Consultez également notre guide sur les bonnes pratiques de sécurité WordPress pour aller plus loin.
C’est la faille la plus grave de la période. Le plugin RealHomes CRM, utilisé sur plus de 30 000 sites WordPress avec le thème immobilier RealHomes, permettait à n’importe quel utilisateur connecté (même avec le rôle Abonné) d’uploader un fichier arbitraire sur le serveur — y compris du code PHP malveillant.
Ce type d’attaque est similaire à celles documentées dans notre article sur les faux plugins WordPress créant des administrateurs cachés.
Plus de 40 000 sites utilisent le plugin Quiz and Survey Master. En version 10.3.1 et inférieures, une injection SQL permettait à tout utilisateur connecté d’exécuter des commandes SQL arbitraires. Selon le NVD NIST, cette vulnérabilité est classée CVSS 8.5 (Haute).
Le plugin EmailKit en version 1.6.3 est affecté par une vulnérabilité de traversée de chemin dans son API REST. Mise à jour vers la dernière version recommandée.
Le plugin Contact List en version 3.0.18 est vulnérable à une attaque XSS stockée via le paramètre cl-map-iframe. Mise à jour immédiate recommandée.
Cumule deux failles en versions 2.1.1 et 2.1.2 : XSS stocké (CVSS 5.9) + Path Traversal (CVSS 2.7). Pour détecter d’éventuelles compromissions, consultez notre guide sur le scan de vulnérabilités WordPress.
Ces vulnérabilités confirment une tendance claire : les failles touchent massivement les plugins, pas le cœur de WordPress. Selon Wordfence, plus de 97 % des attaques WordPress ciblent des plugins ou thèmes non mis à jour.
| Plugin | Type | CVSS | Sites exposés | Version corrigée |
|---|---|---|---|---|
| RealHomes CRM | Arbitrary File Upload | 9.9 🔴 | 30 000+ | 1.0.1 |
| Quiz and Survey Master | SQL Injection | 8.5 🔴 | 40 000+ | 10.3.2 |
| Contact List | Stored XSS | 6.5 🟠 | N/A | Mettre à jour |
| Keep Backup Daily | XSS + Path Traversal | 5.9/2.7 🟡 | N/A | Mettre à jour |
| EmailKit | Path Traversal | 4.9 🟠 | N/A | Mettre à jour |
Vérifiez la version de chaque plugin installé et comparez-la aux avis de sécurité publiés par Patchstack, Wordfence ou le CVE MITRE. Des outils comme WPScan ou Wordfence peuvent scanner automatiquement votre installation et alerter en cas de vulnérabilité connue.
Non, pas suffisamment. L’étude Patchstack 2025 démontre que 74 % des attaques exploitant des vulnérabilités connues réussissent même sur des hébergements avec pare-feu. La mise à jour régulière de vos plugins reste la seule défense efficace.
Isolez immédiatement le site, restaurez depuis une sauvegarde saine, mettez à jour tous les plugins et thèmes, changez tous les mots de passe, puis analysez les logs serveur pour identifier l’origine de la compromission.
Mars 2026 rappelle, une fois de plus, que la sécurité WordPress est une pratique continue, pas un état permanent. Une faille CVSS 9.9 comme celle de RealHomes CRM peut transformer n’importe quel site en serveur zombi en quelques minutes. Et l’étude Patchstack est sans appel : votre hébergeur ne vous protège pas contre ces attaques.
La bonne nouvelle ? Ces failles sont toutes corrigées. Mettre à jour prend 30 secondes. Se remettre d’un piratage prend des semaines.
Les attaques supply chain WordPress ciblent la chaîne de distribution des plugins et thèmes. Découvrez comment elles fonctionnent, les IOC à surveiller et les mesures concrètes pour protéger votre site.
Votre base de données MySQL est le cœur de WordPress : elle contient tout. Découvrez comment la sécuriser avec 8 techniques concrètes pour 2026.
Découvrez quelles permissions de fichiers appliquer sur WordPress (644, 755, 600) pour sécuriser votre installation et éviter les intrusions. Guide complet 2026 avec commandes SSH.
Apprenez à configurer les bonnes permissions de fichiers WordPress (chmod 755/644/640). Guide complet SSH, FTP, WP-CLI pour sécuriser votre site contre les intrusions.
Un backdoor CVSS 10 découvert dans Smart Slider 3 PRO 3.5.1.35 et deux failles XSS dans Gravity Forms 2.9.30 : analyse et mesures d’urgence pour protéger votre site WordPress.
Votre site WordPress a été piraté ? Suivez ce guide de remédiation complet : détection, nettoyage des fichiers infectés, base de données, sécurisation post-hack et demande de révision Google.
Nos experts français assurent un support et une prestation de qualité.
