
3 vulnérabilités WordPress critiques (été 2025)
Garder son site WordPress à jour, c’est plus important que jamais. En 2025, les failles de sécurité dans les extensions et thèmes restent parmi les plus grandes menaces pour les sites web. Chez WHC, on surveille de près l’écosystème WordPress pour vous aider à garder votre site en sécurité.
Cet été, trois vulnérabilités majeures ont été découvertes, touchant plus de 1,2 million de sites web dans le monde. Elles concernent deux extensions populaires et un thème largement utilisé. Des correctifs existent, mais si votre site n’est pas à jour, il est à risque.
Voici ce que vous devez savoir (et faire).
1. Extension Post SMTP Mailer (CVE‑2025‑24000)
- Versions touchées: jusqu’à 3.2.4
- Corrigé dans: version 3.3.0
- Installations actives: environ 400 000
- Gravité (CVSS): 8.8 / 10 (élevée)
Le problème:
Une faille critique dans l’API REST de l’extension permet à n’importe quel utilisateur enregistré (même avec un rôle de base comme « abonné ») de lire le contenu des courriels et de déclencher une réinitialisation du mot de passe admin. Cela pourrait donner un accès complet au site.
Ce qu’on recommande:
Mettez à jour vers la version 3.3.0 ou plus récente sans tarder. Si vous n’utilisez pas cette extension, supprimez-le pour limiter les risques.
2. Extension Forminator (CVE‑2025‑6463)
- Versions touchées: jusqu’à 1.44.2
- Corrigé dans: version 1.44.3
- Installations actives: plus de 600 000
- Gravité (CVSS): 8.8 / 10 (élevée)
Le problème:
Une faille permet à un attaquant d’envoyer un formulaire piégé qui supprime des fichiers sensibles du serveur, comme wp-config.php. Cela peut désactiver votre site et ouvrir la porte à une prise de contrôle.
Ce qu’on recommande:
Mettez à jour immédiatement vers la version 1.44.3 ou supérieure. Profitez-en pour vérifier les permissions de vos fichiers et désactiver les options de suppression si elles ne sont pas essentielles.
3. Thème Motors (CVE‑2025‑4322)
- Versions touchées: jusqu’à 5.6.67
- Corrigé dans: version 5.6.68
- Installations actives: plus de 250 000
- Gravité (CVSS): 9.8 / 10 (critique)
Le problème:
Une faille dans la fonction de réinitialisation de mot de passe permet à un utilisateur non authentifié d’obtenir un accès administrateur. La faille est déjà exploitée activement, ce qui la rend particulièrement urgente.
Ce qu’on recommande:
Passez sans attendre à la version 5.6.68 ou plus récente. Si vous ne savez pas quelle version vous utilisez ou si vous avez un doute, communiquez rapidement avec votre développeur ou votre hébergeur.
Quelques conseils pour garder votre site sécurisé
Si votre site utilise un de ces outils, c’est le moment d’agir. Ces failles peuvent mener à des piratages, pertes de données, etc.
Voici comment mieux protéger votre site WordPress:
- ✅ Gardez vos extensions, thèmes et WordPress à jour
- ✅ Supprimez les éléments inutilisés ou obsolètes
- ✅ Effectuez des sauvegardes régulières
- ✅ Utilisez des mots de passe solides et uniques
- ✅ Activez un pare-feu applicatif web (WAF)
Chez WHC, on est là pour vous. Nos services d'hébergement WordPress, de détection de maliciel, et notre soutien 24/7 sont là pour vous aider à garder votre site fiable et sécurisé.
Besoin d’un coup de main? Contactez notre équipe ou explorez nos solutions de sécurité WordPress.
À lire sur le blog WHC

WordPress ou Sitejet: quel est le bon choix pour votre site web?
Vous songez à lancer un site web. Peut-être pour votre entreprise, un projet personnel ou votre nouvelle carrière de pigiste. Vous avez des idées. Peut-être même un logo. Mais une question importante reste en suspens: «...
Lire la suite
Comment éviter les pannes de site web (et leur coût)
Imaginez: Votre campagne est live, le trafic augmente, les conversions aussi... et soudain, plus rien. La page tourne en boucle lors du paiement. Une vente perdue. Puis une autre. Et encore une autre. Aucune alerte, pas de...
Lire la suite