Chaque semaine, de nouvelles failles sont découvertes dans l’écosystème WordPress. Mars 2026 n’échappe pas à la règle — et les chiffres donnent à réfléchir. Une étude récente de Patchstack, l’un des leaders mondiaux de la sécurité WordPress, révèle que 74 % des attaques exploitant des vulnérabilités connues réussissent, même sur des hébergements présentés comme « sécurisés ». Voici les failles à patcher d’urgence ce mois-ci.
Cloudflare, pare-feu intégré, WAF sur-mesure… Les hébergeurs rivalisent d’arguments sécurité. Mais Patchstack a conduit deux séries de tests sur plusieurs hébergeurs majeurs en utilisant des vulnérabilités réellement exploitées dans la nature.
Résultat sans appel : lors du premier test, 88 % des attaques aboutissaient à une prise de contrôle complète du site. Lors du second test élargi, ce chiffre descendait à 74 % — ce qui reste alarmant.
« C’était inquiétant de constater que nombre de vulnérabilités n’avaient toujours pas été traitées par des entreprises pourtant testées précédemment. » — Kevin Ohashi, WPHostingBenchmarks.com
Ce que cela signifie concrètement : vous ne pouvez pas déléguer votre sécurité à votre hébergeur. La mise à jour de vos plugins reste votre première ligne de défense. Consultez également notre guide sur les bonnes pratiques de sécurité WordPress pour aller plus loin.
C’est la faille la plus grave de la période. Le plugin RealHomes CRM, utilisé sur plus de 30 000 sites WordPress avec le thème immobilier RealHomes, permettait à n’importe quel utilisateur connecté (même avec le rôle Abonné) d’uploader un fichier arbitraire sur le serveur — y compris du code PHP malveillant.
Ce type d’attaque est similaire à celles documentées dans notre article sur les faux plugins WordPress créant des administrateurs cachés.
Plus de 40 000 sites utilisent le plugin Quiz and Survey Master. En version 10.3.1 et inférieures, une injection SQL permettait à tout utilisateur connecté d’exécuter des commandes SQL arbitraires. Selon le NVD NIST, cette vulnérabilité est classée CVSS 8.5 (Haute).
Le plugin EmailKit en version 1.6.3 est affecté par une vulnérabilité de traversée de chemin dans son API REST. Mise à jour vers la dernière version recommandée.
Le plugin Contact List en version 3.0.18 est vulnérable à une attaque XSS stockée via le paramètre cl-map-iframe. Mise à jour immédiate recommandée.
Cumule deux failles en versions 2.1.1 et 2.1.2 : XSS stocké (CVSS 5.9) + Path Traversal (CVSS 2.7). Pour détecter d’éventuelles compromissions, consultez notre guide sur le scan de vulnérabilités WordPress.
Ces vulnérabilités confirment une tendance claire : les failles touchent massivement les plugins, pas le cœur de WordPress. Selon Wordfence, plus de 97 % des attaques WordPress ciblent des plugins ou thèmes non mis à jour.
| Plugin | Type | CVSS | Sites exposés | Version corrigée |
|---|---|---|---|---|
| RealHomes CRM | Arbitrary File Upload | 9.9 🔴 | 30 000+ | 1.0.1 |
| Quiz and Survey Master | SQL Injection | 8.5 🔴 | 40 000+ | 10.3.2 |
| Contact List | Stored XSS | 6.5 🟠 | N/A | Mettre à jour |
| Keep Backup Daily | XSS + Path Traversal | 5.9/2.7 🟡 | N/A | Mettre à jour |
| EmailKit | Path Traversal | 4.9 🟠 | N/A | Mettre à jour |
Vérifiez la version de chaque plugin installé et comparez-la aux avis de sécurité publiés par Patchstack, Wordfence ou le CVE MITRE. Des outils comme WPScan ou Wordfence peuvent scanner automatiquement votre installation et alerter en cas de vulnérabilité connue.
Non, pas suffisamment. L’étude Patchstack 2025 démontre que 74 % des attaques exploitant des vulnérabilités connues réussissent même sur des hébergements avec pare-feu. La mise à jour régulière de vos plugins reste la seule défense efficace.
Isolez immédiatement le site, restaurez depuis une sauvegarde saine, mettez à jour tous les plugins et thèmes, changez tous les mots de passe, puis analysez les logs serveur pour identifier l’origine de la compromission.
Mars 2026 rappelle, une fois de plus, que la sécurité WordPress est une pratique continue, pas un état permanent. Une faille CVSS 9.9 comme celle de RealHomes CRM peut transformer n’importe quel site en serveur zombi en quelques minutes. Et l’étude Patchstack est sans appel : votre hébergeur ne vous protège pas contre ces attaques.
La bonne nouvelle ? Ces failles sont toutes corrigées. Mettre à jour prend 30 secondes. Se remettre d’un piratage prend des semaines.
Découvrez comment mettre en place un système de monitoring WordPress efficace : journalisation des connexions, alertes en temps réel, plugins recommandés et intégration SIEM pour détecter toute intrusion.
Le credential stuffing cible des millions de sites WordPress via des bases de données de mots de passe volés. Découvrez comment détecter, bloquer et vous prémunir contre cette attaque en 2026.
Comment forcer HTTPS et configurer HSTS sur WordPress en 2026 : 4 méthodes testées, configuration HSTS Preload, correction des erreurs Mixed Content et sécurisation SSL complète.
Apprenez à surveiller l’intégrité des fichiers WordPress pour détecter backdoors, webshells et modifications malveillantes avant qu’il ne soit trop tard. Guide complet 2026.
L’éditeur de fichiers WordPress natif est l’une des portes d’entrée les plus exploitées lors d’une compromission. Découvrez comment le désactiver en une ligne et durcir votre installation WordPress.
cPanel cumule en 2026 une faille d’authentification critique (CVE-2026-41940, CVSS 10.0) exploitée activement et des hausses tarifaires de +400% en 5 ans. Des sites e-commerce ont été ransomwés. Est-il encore raisonnable de lui faire confiance ?
Nos experts français assurent un support et une prestation de qualité.
