Vulnérabilités WordPress : Rapport 11-17 août 2025

📢 Appel à tous les chercheurs en vulnérabilités et chasseurs de bugs ! 📢

Bonjour à tous, je suis Benjamin Bueno, expert en sécurité WordPress chez SécuritéWP. Aujourd’hui, je souhaite vous parler d’une opportunité passionnante pour les chercheurs en sécurité et les chasseurs de bugs, tout en vous offrant des conseils précieux pour sécuriser votre site WordPress.

Doublez vos récompenses avec Wordfence !

Du printemps à l’été, jusqu’au 4 septembre 2025, Wordfence propose de doubler les récompenses pour toutes les soumissions concernant les vulnérabilités de la liste « Haute Menace » dans les logiciels ayant moins de 5 millions d’installations actives. Les primes peuvent atteindre jusqu’à 31 200 $ par vulnérabilité. C’est le moment idéal pour soumettre vos découvertes audacieuses et récolter de belles récompenses !

Participez au défi SQLsplorer !

Jusqu’au 22 septembre 2025, toutes les vulnérabilités d’injection SQL dans les logiciels ayant au moins 25 installations actives sont prises en compte pour tous les chercheurs, quel que soit leur niveau. De plus, vous bénéficierez d’un bonus de 20 % sur toutes les soumissions de vulnérabilités d’injection SQL. C’est une occasion en or pour les experts en sécurité de démontrer leurs compétences.

Rapport hebdomadaire sur les vulnérabilités

La semaine dernière, 168 vulnérabilités ont été révélées dans 142 plugins WordPress et 11 thèmes WordPress, ajoutées à la base de données de vulnérabilités Wordfence Intelligence. 69 chercheurs ont contribué à la sécurité de WordPress. Je vous encourage à consulter ce rapport pour vous assurer que votre site n’est pas affecté.

Notre mission chez Wordfence Intelligence

Notre objectif est de rendre l’information sur les vulnérabilités facilement accessible à tous, que ce soit pour les particuliers ou les organisations. Cela permet à chacun de mettre en place une sécurité en couches, alignée sur notre mission globale de sécuriser WordPress avec des stratégies de défense en profondeur. C’est pourquoi l’interface utilisateur de Wordfence Intelligence, l’API de vulnérabilité, l’intégration webhook et le scanner de vulnérabilités CLI de Wordfence sont entièrement gratuits à utiliser, tant pour un usage personnel que commercial.

Utilisation des outils Wordfence

Les entreprises, les fournisseurs d’hébergement et même les particuliers peuvent utiliser le scanner de vulnérabilités CLI de Wordfence pour effectuer des analyses régulières sur les sites qu’ils protègent. Alternativement, vous pouvez utiliser l’API de la base de données de vulnérabilités pour recevoir un dump complet de notre base de données de plus de 28 000 vulnérabilités et utiliser l’intégration webhook pour rester informé des nouvelles vulnérabilités ajoutées en temps réel, ainsi que des mises à jour de la base de données, le tout gratuitement.

Statistiques des vulnérabilités de la semaine dernière

• Vulnérabilités corrigées : 80
• Vulnérabilités non corrigées : 88

Gravité des vulnérabilités

• Faible : 1
• Moyenne : 133
• Élevée : 27
• Critique : 7

Types de vulnérabilités

• Cross-site Scripting (XSS) : 64
• Autorisation manquante : 26
• Cross-Site Request Forgery (CSRF) : 22
• Inclusion de fichiers PHP à distance : 9
• Exposition d’informations sensibles : 7
• Injection SQL : 7

Pour mieux comprendre l’impact des vulnérabilités sur les sites WordPress, il est essentiel de se pencher sur les statistiques. Selon une étude récente, environ 70 % des sites WordPress sont vulnérables à des attaques, principalement en raison de plugins et thèmes obsolètes. Parmi les types de vulnérabilités les plus courants, on trouve le Cross-Site Scripting (XSS), le Cross-Site Request Forgery (CSRF) et l’injection SQL (SQLi).

Le Cross-Site Scripting (XSS) est une vulnérabilité qui permet à un attaquant d’injecter des scripts malveillants dans des pages web vues par d’autres utilisateurs. En France, un exemple concret pourrait être un site de commerce électronique où un attaquant insère un script dans la section des commentaires d’un produit. Ce script pourrait voler les cookies des utilisateurs, compromettant ainsi leurs informations personnelles. La réparation d’urgence WordPress est cruciale dans ces cas pour éliminer rapidement le script malveillant et sécuriser le site.

Le Cross-Site Request Forgery (CSRF) est une attaque qui force un utilisateur à exécuter des actions non désirées sur une application web dans laquelle il est authentifié. Par exemple, un utilisateur français connecté à son compte bancaire en ligne pourrait, à son insu, transférer de l’argent à un attaquant. La maintenance régulière de WordPress, incluant la mise à jour des plugins et des thèmes, est essentielle pour prévenir ce type de vulnérabilité.

L’injection SQL (SQLi) est une technique où un attaquant insère des requêtes SQL malveillantes dans un champ d’entrée, permettant potentiellement l’accès à la base de données du site. Un exemple en Europe pourrait être un site d’actualités où un attaquant accède à la base de données des utilisateurs, compromettant ainsi des informations sensibles. Nos services de réparation d’urgence WordPress peuvent intervenir pour corriger ces failles et renforcer la sécurité de la base de données.

En plus de ces vulnérabilités, il est important de mentionner les attaques par force brute, où des attaquants tentent de deviner les identifiants de connexion. En France, les petites entreprises sont souvent ciblées, car elles peuvent ne pas avoir les ressources pour se défendre efficacement. La mise en place de mesures de sécurité, telles que l’authentification à deux facteurs, est une partie intégrante de notre service de maintenance WordPress.

L’importance de sécuriser un site WordPress ne se limite pas à la protection des données. Un site compromis peut également voir son référencement (SEO) affecté négativement. Les moteurs de recherche, comme Google, pénalisent les sites qui présentent des risques pour les utilisateurs. Ainsi, un site infecté par des logiciels malveillants peut être rétrogradé dans les résultats de recherche, réduisant ainsi le trafic et, par conséquent, les opportunités commerciales. Nos services SEO incluent une analyse régulière pour s’assurer que votre site reste en conformité avec les meilleures pratiques de sécurité, garantissant ainsi une visibilité optimale.

En conclusion, la sécurité d’un site WordPress est un enjeu majeur qui nécessite une attention constante. Que ce soit par la réparation d’urgence, la maintenance régulière ou l’optimisation SEO, il est crucial de prendre des mesures proactives pour protéger votre site contre les menaces potentielles. En tant que professionnels, nous sommes là pour vous accompagner dans chaque étape, assurant la sécurité et la performance de votre site.

Pour recevoir nos rapports hebdomadaires sur les vulnérabilités et des informations importantes sur la sécurité WordPress, inscrivez-vous à notre liste de diffusion.

Benjamin Bueno,
Expert en Sécurité WordPress chez SécuritéWP