📢 Appel à tous les chercheurs en vulnérabilités et chasseurs de primes ! 📢
🌞 Profitez du printemps et de l’été avec SécuritéWP ! Jusqu’au 4 août 2025, doublez vos récompenses pour toutes les soumissions éligibles de notre liste de « Menaces Élevées » dans les logiciels comptant moins de 5 millions d’installations actives. Les primes peuvent atteindre jusqu’à 31 200 € par vulnérabilité. Soumettez audacieusement. Gagnez gros !
La semaine dernière, 145 vulnérabilités ont été révélées dans 106 plugins WordPress et 35 thèmes WordPress, ajoutées à la base de données de vulnérabilités de SécuritéWP Intelligence. 54 chercheurs ont contribué à la sécurité de WordPress la semaine dernière. Consultez ce rapport pour vous assurer que votre site n’est pas affecté. Il est crucial de rester informé sur les vulnérabilités spécifiques de WordPress afin de protéger efficacement votre site. Pensez à mettre à jour régulièrement vos plugins et thèmes pour réduire les risques d’exploitation. N’hésitez pas à consulter des ressources supplémentaires pour obtenir des conseils sur la sécurisation de votre installation WordPress.
En tant qu’expert en sécurité WordPress, je constate chaque semaine l’importance d’une veille active sur les failles de sécurité. Notre mission avec SécuritéWP Intelligence est de rendre l’information sur les vulnérabilités facilement accessible à tous, y compris la communauté WordPress francophone, afin que chacun puisse utiliser ces données pour mettre en œuvre une sécurité en couches, en accord avec notre mission globale de sécuriser WordPress grâce à des stratégies de défense en profondeur. C’est pourquoi l’interface utilisateur de SécuritéWP Intelligence, l’API de vulnérabilité, l’intégration webhook et le scanner de vulnérabilités CLI de SécuritéWP sont entièrement gratuits à utiliser, tant pour un usage personnel que commercial, et pourquoi nous publions ce rapport hebdomadaire sur les vulnérabilités. En tant que principal fournisseur de base de données de vulnérabilités de qualité pour WordPress, les propriétaires de sites peuvent être assurés que SécuritéWP veille sur eux. L’évaluation de la sécurité WordPress doit être une priorité pour chaque propriétaire de site, car elle permet d’identifier les vulnérabilités potentielles avant qu’elles ne soient exploitées. En intégrant régulièrement des outils d’évaluation de la sécurité WordPress et en restant informé des dernières menaces, les utilisateurs peuvent adopter des mesures proactives pour protéger leur site. Une telle vigilance contribue non seulement à la sécurité individuelle des sites, mais renforce également la résistance collective de la communauté WordPress face aux cybermenaces. L’analyse des menaces WP est essentielle pour anticiper les attaques potentielles et renforcer la sécurité des sites. En complétant les outils gratuits offerts, comme l’analyse des menaces WP, les utilisateurs bénéficient d’une vision d’ensemble des risques auxquels leur site est exposé. Cela leur permet d’adopter des mesures préventives adaptées, garantissant ainsi la pérennité et la sécurité de leurs projets en ligne.
Les entreprises, les hébergeurs et même les particuliers peuvent utiliser le scanner de vulnérabilités CLI de SécuritéWP pour effectuer des analyses régulières des vulnérabilités sur les sites qu’ils protègent. Alternativement, ils peuvent utiliser l’API de la base de données de vulnérabilités pour recevoir un dump complet de notre base de données de plus de 27 000 vulnérabilités et utiliser l’intégration webhook pour rester informés des nouvelles vulnérabilités ajoutées en temps réel, ainsi que des mises à jour de la base de données, le tout gratuitement.
Je recommande vivement à tous les administrateurs de sites WordPress de s’inscrire à notre liste de diffusion pour recevoir des rapports hebdomadaires sur les vulnérabilités comme celui-ci et des rapports importants sur la sécurité WordPress directement dans leur boîte de réception dès leur publication.
Nouvelles Règles de Pare-feu Déployées la Semaine Dernière
L’équipe de SécuritéWP Intelligence évalue chaque vulnérabilité pour déterminer son impact et sa gravité, ainsi que la probabilité d’exploitation, afin de vérifier que le pare-feu SécuritéWP offre une protection suffisante.
La semaine dernière, l’équipe a déployé une protection renforcée via des règles de pare-feu pour les vulnérabilités suivantes en temps réel pour nos clients Premium, Care et Response :
- Plugin PayU CommercePro <= 3.8.5 – Contournement d’authentification
- WAF-RULE-845 à 848 – Données masquées pendant que nous travaillons avec le fournisseur sur un correctif.
Les clients Premium, Care et Response de SécuritéWP ont reçu cette protection immédiatement, tandis que les utilisateurs de la version gratuite de SécuritéWP bénéficieront de cette protection renforcée après un délai de 30 jours.
Vulnérabilités Corrigées et Non Corrigées la Semaine Dernière
- Corrigées : 85
- Non corrigées : 60
Vulnérabilités par Gravité CVSS la Semaine Dernière
- Gravité Moyenne : 76
- Gravité Élevée : 31
- Gravité Critique : 38
Vulnérabilités par Type CWE la Semaine Dernière
- Neutralisation Impropre de l’Entrée lors de la Génération de Pages Web (‘Cross-site Scripting’) : 46
- Contrôle Impropre du Nom de Fichier pour l’Instruction Include/Require en PHP (‘Inclusion de Fichier à Distance PHP’) : 32
- Falsification de Requête Inter-Sites (CSRF) : 12
- Autorisation Manquante : 11
- Téléchargement Non Restreint de Fichier de Type Dangereux : 11
- Neutralisation Impropre des Éléments Spéciaux utilisés dans une Commande SQL (‘Injection SQL’) : 10
- Limitation Impropre d’un Chemin à un Répertoire Restreint (‘Traversal de Chemin’) : 6
- Désérialisation de Données Non Fiables : 5
- Gestion Impropre des Privilèges : 4
- Exposition d’Informations Sensibles à un Acteur Non Autorisé : 2
- Traversal de Chemin Absolu : 1
- Contournement d’Authentification en Utilisant un Chemin ou un Canal Alternatif : 1
- Contrôle Impropre de la Génération de Code (‘Injection de Code’) : 1
- Autorisation Incorrecte : 1
- Falsification de Requête Côté Serveur (SSRF) : 1
- Redirection d’URL vers un Site Non Fiable (‘Redirection Ouverte’) : 1
Pourquoi la veille et la réaction rapide sont essentielles
En tant qu’expert, je vois trop souvent des sites français ou européens compromis à cause d’un manque de suivi des vulnérabilités. C’est pourquoi, chez SécuritéWP, nous proposons un service de réparation d’urgence WordPress : analyse complète, nettoyage des malwares, suppression des backdoors et renforcement de la sécurité. Pour éviter de nouveaux incidents, notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec option d’hébergement Premium en France. Enfin, pour optimiser votre visibilité en ligne, nous offrons des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés.
Conclusion
Chez SécuritéWP, nous nous engageons à fournir des solutions de sécurité robustes pour WordPress. Que vous ayez besoin d’une réparation d’urgence, d’une maintenance régulière ou d’une optimisation SEO, notre équipe est prête à vous aider. Protégez votre site avec nos services de pointe et assurez-vous que votre présence en ligne reste sécurisée et performante. N’hésitez pas à nous contacter pour toute question ou pour en savoir plus sur nos services.
Benjamin Bueno, Expert en Sécurité WordPress chez SécuritéWP
