Do not follow this hidden link or you will be blocked from this website !
WordPress sous pression : failles critiques, risques majeurs
12 / 12 / 2024 Sécurité

WordPress sous pression : failles critiques, risques majeurs

Le CMS WordPress reste le moteur de près d’un tiers des sites web mondiaux — mais avec cette position dominante vient une responsabilité critique en matière de sécurité. Entre 2024 et 2025, les données ont mis en lumière une réalité préoccupante : ce ne sont plus les noyaux ou le cœur du système qui posent problème, mais les plugins et thèmes.

Chiffres clés (2024–2025)

Plus de 7 900 nouvelles vulnérabilités ont été détectées dans l’écosystème WordPress en 2024, soit environ 22 par jour, dont 96 % proviennent de plugins et 4 % de thèmes Patchstack SecurityWeek.

Parmi ces vulnérabilités, 11,6 % étaient de haut risque (high ou critical) selon Patchstack Patchstack.

En 2024, Wordfence a bloqué plus de 48 milliards de requêtes malveillantes et 55 milliards de tentatives d’attaque par mot de passe sur des sites WordPress Wordfence.

Pour 2023, les XSS (Cross-Site Scripting) représentaient 53 % des vulnérabilités, avec une nette augmentation par rapport à l’année précédente Patchstack Search Engine Journal.

Cas récents et exemples concrets

Des thèmes ou plugins populaires ont été la cible d'attaques actives :

Le thème Alone – Charity Multipurpose, diffusé sur environ 200 sites, contenait une faille (CVE-2025-4394) exploitée dès deux jours avant sa publication publique, permettant aux attaquants une exécution de code à distance TechRadar.

Le plugin GiveWP permettait une injection d’objet PHP (CVE-2025-0912, score 9.8), affectant plus de 100 000 installations et permettant une prise de contrôle complète du serveur chez certains utilisateurs Reddit.

De nombreux plugins — comme Brizy, WP Job Board Pro, ou CleanTalk — ont également révélé des vulnérabilités graves (surcharge de fichiers, escalade de privilèges, etc.) via des alertes NIST Reddit.

Ce que cela signifie pour vos sites

Attention accrue aux mises à jour : la plupart des vulnérabilités sont liées aux composants tiers.

Surveillance proactive des vulnérabilités publiées — Patchstack, Wordfence, ou les annonces de sécurité officielles.

Réduction de la surface d’attaque : limiter le nombre de plugins, privilégier ceux activement maintenus, et surveiller tout comportement suspect (logs, accès anormal).

Renforcement global : même si WordPress core reste solide, la sécurité dépend surtout de la vigilance face aux extensions tierces.