Pires failles de WordPress

Historique des menaces les plus graves.

pires-failles-wordpress
Accueil Techniques Stratégie IA Management Changement Soft Skills Code Escalidraw
Philippe Escalle CTO

WordPress est le CMS (Content Management System) le plus populaire au monde, représentant plus de 40 % des sites web. Sa popularité en fait une cible privilégiée pour les cybercriminels, qui exploitent régulièrement ses failles pour compromettre des sites, voler des données ou propager des logiciels malveillants. Voici un classement des pires failles de sécurité ayant affecté WordPress, classées par gravité et impact.

1. La faille REST API (2017) - Modification massive des contenus

En 2017, une vulnérabilité critique a été découverte dans l’API REST de WordPress, permettant aux attaquants de modifier le contenu des publications sans authentification. Cette faille a été exploitée pour défigurer des milliers de sites web, provoquant des pertes de confiance massives et des impacts SEO négatifs.

2. Attaques XML-RPC (2015 et récurrent) - DDoS et force brute

Le protocole XML-RPC de WordPress a été détourné pour exécuter des attaques DDoS et faciliter les tentatives de connexion par force brute. Cette vulnérabilité, exploitée depuis plusieurs années, a rendu des milliers de sites inaccessibles et permis des intrusions répétées.

3. Faille du plugin WP File Manager (2020) - Exécution de code à distance

Ce plugin, utilisé pour gérer les fichiers d’un site depuis le tableau de bord, a présenté une faille critique permettant aux attaquants d’exécuter du code malveillant à distance. Plus de 700 000 sites ont été affectés avant que le correctif ne soit publié.

4. Vulnérabilité dans TimThumb (2011) - Exécution arbitraire de code

Le script TimThumb, utilisé pour redimensionner les images dans de nombreux thèmes WordPress, a introduit une faille permettant aux hackers d’exécuter du code arbitraire sur les serveurs des sites affectés. Cette vulnérabilité a conduit à l’infection de milliers de sites.

5. Attaques par injection SQL (SQLi) - Vol de bases de données

Les attaques SQLi permettent aux hackers d’accéder aux bases de données des sites, leur permettant de voler ou modifier des informations sensibles. Une faille critique a été découverte en 2017 dans le plugin NextGEN Gallery, exposant les bases de données de milliers de sites.

6. Les vulnérabilités XSS (Cross-Site Scripting) - Vol d’identifiants et injections malveillantes

Les attaques XSS visent à injecter des scripts malveillants dans les pages web affichées aux utilisateurs. En 2021, une faille XSS critique a été identifiée dans le plugin SEOPress, mettant en danger des milliers de sites en facilitant le vol d’identifiants et les redirections malveillantes.

7. Les backdoors et attaques JavaScript (2024) - Contrôle persistant des sites

Une attaque massive a été découverte en 2024, exploitant une vulnérabilité JavaScript pour infecter plus de 1000 sites WordPress avec des backdoors. Ces portes dérobées permettent aux attaquants de garder un accès persistant aux sites et de propager des malwares.

8. Faille du plugin Elementor (2022) - Contrôle total des sites affectés

Le plugin Elementor, l’un des constructeurs de pages les plus populaires pour WordPress, a présenté en 2022 une vulnérabilité de gravité 8,8/10 permettant aux attaquants de prendre le contrôle total des sites utilisant ce plugin.

9. Failles d’authentification et de gestion des accès (ex: InfiniteWP Client, 2020)

Des erreurs d’authentification ont permis à des attaquants de contourner les protections de WordPress. En 2020, une faille dans le plugin InfiniteWP Client permettait aux hackers de se connecter sans mot de passe aux tableaux de bord de WordPress.

10. Les attaques supply chain via les dépôts de plugins (2023) - Mises à jour infectées

En 2023, plusieurs plugins populaires ont été compromis après que des attaquants aient infiltré les comptes de développeurs sur le dépôt officiel de WordPress. Ils ont injecté du code malveillant dans les mises à jour officielles, infectant ainsi des milliers de sites.

Comment protéger son site WordPress ?

Face à ces menaces constantes, il est essentiel d’adopter de bonnes pratiques de sécurité :

  • Mettre à jour régulièrement WordPress, les thèmes et les plugins.

  • Utiliser des plugins de sécurité comme Wordfence ou Sucuri.

  • Éviter les extensions et thèmes non vérifiés ou obsolètes.

  • Activer l’authentification à deux facteurs pour sécuriser l’accès administrateur.

  • Effectuer des sauvegardes régulières pour restaurer son site en cas d’attaque.


L'oeil du CTO

" WordPress reste une plateforme puissante et flexible, mais sa sécurité repose en grande partie sur la vigilance de ses utilisateurs. Une mise à jour proactive et l’utilisation de bonnes pratiques sont indispensables pour éviter que son site ne tombe entre de mauvaises mains. "