La sécurité des plugins WordPress est un désastre : 11 000+ vulnérabilités en un an

331 nouvelles vulnérabilités de plugins WordPress en une seule semaine. Ce n’est pas un bug. C’est un écosystème entier en flammes.

WordPress fait tourner 43% de tous les sites web sur internet. Ça représente environ 605 millions de sites.

Son écosystème de plugins est devenu la plus grande surface d’attaque du web. Rien qu’en 2025, Patchstack a documenté 11 334 nouvelles vulnérabilités — une augmentation de 42% par rapport à l’année précédente. 91% d’entre elles étaient dans les plugins. Le cœur de WordPress n’en avait que 2.

Ce n’est pas un problème qui s’améliore. Il s’accélère.

⚡ Verdict en 30 secondes

• 11 334 nouvelles vulnérabilités WordPress en 2025 — augmentation de 42% par rapport à 2024
• 91% proviennent des plugins — le cœur de WordPress va bien, c’est l’écosystème le problème
• 46% non corrigées avant divulgation — les attaquants connaissent la faille avant qu’un correctif existe
• 45% exploitées dans les 24 heures — vous avez des heures, pas des jours, pour réagir
• 331 nouvelles vulnérabilités en une seule semaine (25 mars 2026)
• Exploit CVSS 10.0 (Modular DS) donnait un accès admin non authentifié à n’importe qui
• Les attaques de la chaîne d’approvisionnement injectent désormais des malwares via des mises à jour légitimes de plugins
• Wordfence gratuit retarde les règles de sécurité de 30 jours — vous êtes sans protection pendant la fenêtre la plus critique
• Meilleure protection : Minimiser les plugins, utiliser Cloudflare WAF (gratuit), ou quitter WordPress complètement

Les chiffres empirent

Croissance des vulnérabilités (d’année en année)

La courbe de tendance est terrifiante :

• 2023 : ~5 600 vulnérabilités
• 2024 : 7 966 vulnérabilités (+42%)
• 2025 : 11 334 vulnérabilités (+42% encore)

Ce n’est pas une croissance linéaire. C’est exponentiel. À ce rythme, 2026 verra 16 000+ nouvelles vulnérabilités dans l’écosystème WordPress.

Mars 2026 : Un mois typique

SolidWP suit les vulnérabilités hebdomadaires. Voici à quoi ressemblait mars 2026 :

• Semaine du 4 mars : 281 vulnérabilités (108 plugins, 173 thèmes) — 225 non corrigées
• Semaine du 11 mars : 209 vulnérabilités (98 plugins, 111 thèmes) — 134 non corrigées
• Semaine du 18 mars : 159 vulnérabilités (6 cœur, 130 plugins, 23 thèmes) — 46 non corrigées
• Semaine du 25 mars : 331 vulnérabilités (275 plugins, 56 thèmes) — 120 non corrigées

Ça fait 980 nouvelles vulnérabilités en un seul mois. Une moyenne de 35 par jour. Et entre 15 et 80% d’entre elles n’étaient pas corrigées au moment de la divulgation.

Les pires coupables

Plugin Modular DS : CVSS 10.0 (La note parfaite de l’échec)

En janvier 2026, des chercheurs en sécurité ont découvert CVE-2026-23550 dans le plugin Modular DS — une vulnérabilité notée 10.0 sur 10.0 sur l’échelle de sévérité CVSS. C’est le score maximum possible. Ça signifie :

• Aucune authentification requise — n’importe qui peut l’exploiter
• Aucune interaction utilisateur nécessaire — l’attaquant envoie juste une requête
• Accès admin complet — contrôle total du site web

L’attaque était simple : ajouter ?origin=mo&type=xxx à une URL, et vous êtes admin. 40 000+ sites utilisaient ce plugin.

Cela a été activement exploité dans la nature avant que la plupart des sites puissent mettre à jour.

WPvivid Backup & Migration : Exécution de code à distance sur 900 000 sites

CVE-2026-1357 affectait WPvivid, installé sur près de 900 000 sites. CVSS 9.8. La vulnérabilité permettait à des attaquants non authentifiés de télécharger des fichiers arbitraires et d’exécuter du code sur le serveur — exécution de code à distance complète sans connexion.

La cause ? Mauvaise gestion des erreurs de déchiffrement RSA combinée à une sanitisation insuffisante des chemins. Un plugin de sauvegarde — quelque chose que vous installez pour protéger votre site — est devenu le vecteur de sa compromission.

Plugin Ally : Injection SQL sur 400 000+ sites

CVE-2026-2413 permettait une injection SQL via le chemin d’URL lui-même. Aucune authentification requise. 400 000+ installations actives. Le correctif n’est arrivé que le 23 février 2026 — des semaines après la divulgation.

Le problème des 46% : Non corrigées avant divulgation

Voici ce qui rend la sécurité des plugins WordPress fondamentalement cassée : 46% des vulnérabilités n’ont aucun correctif disponible lorsqu’elles sont divulguées publiquement.

Ça signifie :

1. Un chercheur en sécurité trouve une vulnérabilité
2. Contacte le développeur du plugin (divulgation responsable)
3. Le développeur ne la corrige pas dans la fenêtre standard de 90 jours
4. La vulnérabilité est publiée — maintenant les attaquants sont au courant
5. Il n’y a pas de correctif. Votre seule option est de désactiver le plugin.

Pendant ce temps, les attaquants sont rapides :

• 20% des vulnérabilités sont exploitées dans les 6 heures suivant la divulgation
• 45% dans les 24 heures
• 70% dans les 7 jours

Donc presque la moitié de toutes les vulnérabilités sont divulguées sans correctif, et les attaquants commencent à exploiter en quelques heures. Les maths ne jouent pas en votre faveur.

Attaques de la chaîne d’approvisionnement : Le nouveau cauchemar

En 2025-2026, la menace a évolué. Les attaquants ont arrêté de simplement exploiter les vulnérabilités existantes — ils ont commencé à compromettre les plugins eux-mêmes.

Comment fonctionnent les attaques de la chaîne d’approvisionnement

1. L’attaquant accède au compte d’un développeur de plugin (ou au dépôt source du plugin)
2. Injecte du code malveillant dans une mise à jour légitime du plugin
3. La mise à jour s’installe automatiquement sur chaque site utilisant ce plugin
4. Le malware tourne maintenant sur des milliers de sites, livré via le système officiel de mises à jour WordPress

Exemples réels

Gravity Forms (juillet 2025) : L’un des plugins de formulaire les plus populaires de WordPress a été touché par une attaque de la chaîne d’approvisionnement. Les téléchargements infectés ont affecté à la fois les installations manuelles et les packages Composer.

Campagne malware de janvier 2026 : Wordfence a découvert un malware déguisé en “WP-antymalwary-bot.php” — délibérément mal orthographié pour ressembler à un plugin de sécurité. Il était distribué via des mises à jour de plugins compromises.

L’ampleur : Selon Patchstack, plus de 2 millions de sites web ont reçu des mises à jour compromises lors d’un incident majeur de la chaîne d’approvisionnement avant détection. 92% des violations réussies de WordPress en 2025 provenaient des plugins et thèmes — pas du cœur de WordPress.

C’est le problème fondamental : La force de WordPress (l’extensibilité) est aussi sa faiblesse fatale. Chaque plugin est un point d’entrée potentiel, et le système de mise à jour censé vous protéger est maintenant le vecteur d’attaque.

Wordfence gratuit : Le trou de sécurité de 30 jours

Beaucoup d’utilisateurs WordPress comptent sur Wordfence pour leur protection. La version gratuite est installée sur des millions de sites.

Voici ce que la plupart des utilisateurs ignorent : Wordfence gratuit retarde les règles de pare-feu et les signatures de malware de 30 jours par rapport à la version premium.

Réfléchissez à ce que ça signifie au vu des données ci-dessus :

• 45% des vulnérabilités sont exploitées dans les 24 heures
• 70% sont exploitées dans les 7 jours
• Wordfence gratuit ne vous protège pas pendant 30 jours

Vous êtes sans protection pendant toute la fenêtre critique. Au moment où Wordfence gratuit met à jour ses règles, la vulnérabilité est activement exploitée depuis un mois. La version gratuite est essentiellement du théâtre de sécurité face aux menaces actives.

La version Premium coûte $119/an. C’est par site. Si vous avez 5 sites WordPress, ça fait $595/an juste pour une protection basique en temps réel.

Ce qui vous protège vraiment

1. Cloudflare WAF (Gratuit)

Le tier gratuit de Cloudflare inclut un Web Application Firewall qui intercepte de nombreux exploits WordPress à la périphérie du réseau — avant qu’ils n’atteignent votre serveur. Ce n’est pas spécifique à WordPress, mais ça bloque les schémas d’attaque courants (injection SQL, XSS, traversée de chemin) qui représentent la majorité des exploits de plugins.

C’est gratuit. Il n’y a aucune raison de ne pas l’utiliser.

2. Minimiser les plugins (Réduction radicale)

Chaque plugin est une surface d’attaque. Le calcul est simple :

• 20 plugins = 20 points d’entrée potentiels
• 5 plugins = 5 points d’entrée potentiels
• 0 plugins = 0 points d’entrée basés sur les plugins

Auditez chaque plugin. Demandez-vous : “Y a-t-il un moyen de faire ça sans plugin ?” Pour beaucoup de fonctionnalités (analytics, formulaires, SEO), la réponse est oui — via du code ou des services externes qui ne tournent pas sur votre serveur.

3. Générateurs de sites statiques (L’option nucléaire)

Un site statique n’a aucun code côté serveur en exécution. Pas de base de données. Pas de plugins qui tournent sur le serveur. Pas de WordPress. Pas de surface d’attaque.

Si votre site est principalement du contenu (blog, documentation, site marketing), un générateur statique élimine toute la catégorie des vulnérabilités côté serveur. J’en ai parlé dans Comment créer un blog sans les conneries de WordPress et Meilleures alternatives aux blogs WordPress.

Le site que vous lisez en ce moment ne tourne pas sur WordPress. C’est un site statique derrière Cloudflare. Les vulnérabilités de plugins ne sont plus mon problème.

Le verdict final

WordPress en lui-même va bien. Deux vulnérabilités du cœur en 2025. L’équipe WordPress fait du bon travail en matière de sécurité.

L’écosystème de plugins est en flammes. 11 334 vulnérabilités en un an. 331 en une seule semaine. Un exploit CVSS 10.0 donnant un accès admin à n’importe qui. Des attaques de la chaîne d’approvisionnement injectant des malwares via les canaux de mise à jour officiels. 46% des vulnérabilités non corrigées avant divulgation. Les attaquants exploitent en quelques heures.

605 millions de sites web tournent sur WordPress. L’écosystème de plugins qui fait tourner la plupart d’entre eux est fondamentalement non sécurisé, et la trajectoire empire — 42% de vulnérabilités en plus d’une année sur l’autre, en croissance exponentielle.

Chaque plugin que vous installez est un pari que son développeur corrigera les vulnérabilités plus vite que les attaquants ne peuvent les exploiter. Avec 46% des développeurs qui ne patchent pas avant la divulgation et des attaquants qui agissent en quelques heures, vous perdez ce pari presque la moitié du temps.

Si vous avez besoin de WordPress pour le e-commerce, les sites membres ou les applications web complexes — minimisez les plugins, utilisez Cloudflare WAF, investissez dans Wordfence Premium, et surveillez les rapports hebdomadaires de SolidWP.

Si vous n’avez pas besoin de WordPress — si vous avez un blog, un portfolio ou un site marketing — arrêtez de l’utiliser. Il existe des alternatives plus rapides et plus sûres qui éliminent le problème entièrement.

Ne me faites pas confiance — Vérifiez tout

• Patchstack : State of WordPress Security 2026 (rapport complet)
• SolidWP : WordPress Vulnerability Report — 25 mars 2026
• CVE-2026-23550 : Modular DS CVSS 10.0 (The Hacker News)
• CVE-2026-1357 : WPvivid RCE sur 900K sites (BleepingComputer)
• CVE-2026-2413 : Ally injection SQL, 400K+ sites (SecurityWeek)
• Attaque chaîne d’approvisionnement Gravity Forms (Patchstack)
• Wordfence gratuit vs Premium (délai de 30 jours)
• Part de marché WordPress (W3Techs)

---

Divulgation complète : Je gagne $0 sur chaque produit mentionné dans cet article. Aucune relation d’affiliation avec WordPress, Cloudflare, Wordfence ou une quelconque alternative à WordPress. Cet article existe parce que 605 millions de sites web méritent de savoir ce qui se passe dans l’écosystème dont ils dépendent.