WordPress est le CMS (Content Management System) le plus populaire au monde, représentant plus de 40 % des sites web. Sa popularité en fait une cible privilégiée pour les cybercriminels, qui exploitent régulièrement ses failles pour compromettre des sites, voler des données ou propager des logiciels malveillants.
Voici un classement des pires failles de sécurité ayant affecté WordPress, classées par gravité et impact.
Le Top 10 des Pires Failles
1 La faille REST API (2017)
Modification massive des contenus
En 2017, une vulnérabilité critique a été découverte dans l’API REST de WordPress, permettant aux attaquants de modifier le contenu des publications sans authentification. Cette faille a été exploitée pour défigurer des milliers de sites web, provoquant des pertes de confiance massives et des impacts SEO négatifs.
2 Attaques XML-RPC
2015 et récurrent
Le protocole XML-RPC de WordPress a été détourné pour exécuter des attaques DDoS et faciliter les tentatives de connexion par force brute. Cette vulnérabilité, exploitée depuis plusieurs années, a rendu des milliers de sites inaccessibles et permis des intrusions répétées.
3 Plugin WP File Manager
2020 - Exécution de code à distance
Ce plugin, utilisé pour gérer les fichiers d’un site depuis le tableau de bord, a présenté une faille critique permettant aux attaquants d’exécuter du code malveillant à distance. Plus de 700 000 sites ont été affectés avant que le correctif ne soit publié.
4 Vulnérabilité TimThumb
2011 - Exécution arbitraire
Le script TimThumb, utilisé pour redimensionner les images dans de nombreux thèmes WordPress, a introduit une faille permettant aux hackers d’exécuter du code arbitraire sur les serveurs des sites affectés. Cette vulnérabilité a conduit à l’infection de milliers de sites.
5 Injections SQL (SQLi)
Vol de bases de données
Les attaques SQLi permettent aux hackers d’accéder aux bases de données des sites, leur permettant de voler ou modifier des informations sensibles. Une faille critique a été découverte en 2017 dans le plugin NextGEN Gallery, exposant les bases de données de milliers de sites.
6 Vulnérabilités XSS
Cross-Site Scripting
Les attaques XSS visent à injecter des scripts malveillants dans les pages web affichées aux utilisateurs. En 2021, une faille XSS critique a été identifiée dans le plugin SEOPress, mettant en danger des milliers de sites en facilitant le vol d’identifiants et les redirections malveillantes.
7 Backdoors JavaScript
2024 - Contrôle persistant
Une attaque massive a été découverte en 2024, exploitant une vulnérabilité JavaScript pour infecter plus de 1000 sites WordPress avec des backdoors. Ces portes dérobées permettent aux attaquants de garder un accès persistant aux sites et de propager des malwares.
8 Faille Elementor
2022 - Contrôle total
Le plugin Elementor, l’un des constructeurs de pages les plus populaires pour WordPress, a présenté en 2022 une vulnérabilité de gravité 8,8/10 permettant aux attaquants de prendre le contrôle total des sites utilisant ce plugin.
9 Failles d’authentification
Ex: InfiniteWP Client, 2020
Des erreurs d’authentification ont permis à des attaquants de contourner les protections de WordPress. En 2020, une faille dans le plugin InfiniteWP Client permettait aux hackers de se connecter sans mot de passe aux tableaux de bord de WordPress.
10 Attaques supply chain
2023 - Mises à jour infectées
En 2023, plusieurs plugins populaires ont été compromis après que des attaquants aient infiltré les comptes de développeurs sur le dépôt officiel de WordPress. Ils ont injecté du code malveillant dans les mises à jour officielles, infectant ainsi des milliers de sites.
Comment protéger son site WordPress ?
Face à ces menaces constantes, il est essentiel d’adopter de bonnes pratiques de sécurité :
