3 vulnérabilités WordPress critiques (été 2025)

3 vulnérabilités WordPress critiques (été 2025)

Partager cet article

Garder son site WordPress à jour, c’est plus important que jamais. En 2025, les failles de sécurité dans les extensions et thèmes restent parmi les plus grandes menaces pour les sites web. Chez WHC, on surveille de près l’écosystème WordPress pour vous aider à garder votre site en sécurité.

Cet été, trois vulnérabilités majeures ont été découvertes, touchant plus de 1,2 million de sites web dans le monde. Elles concernent deux extensions populaires et un thème largement utilisé. Des correctifs existent, mais si votre site n’est pas à jour, il est à risque.

Voici ce que vous devez savoir (et faire).

1. Extension Post SMTP Mailer (CVE‑2025‑24000)

  • Versions touchées: jusqu’à 3.2.4
  • Corrigé dans: version 3.3.0
  • Installations actives: environ 400 000
  • Gravité (CVSS): 8.8 / 10 (élevée)

Le problème:
Une faille critique dans l’API REST de l’extension permet à n’importe quel utilisateur enregistré (même avec un rôle de base comme « abonné ») de lire le contenu des courriels et de déclencher une réinitialisation du mot de passe admin. Cela pourrait donner un accès complet au site.

Ce qu’on recommande:
Mettez à jour vers la version 3.3.0 ou plus récente sans tarder. Si vous n’utilisez pas cette extension, supprimez-le pour limiter les risques.

2. Extension Forminator (CVE‑2025‑6463)

  • Versions touchées: jusqu’à 1.44.2
  • Corrigé dans: version 1.44.3
  • Installations actives: plus de 600 000
  • Gravité (CVSS): 8.8 / 10 (élevée)

Le problème:
Une faille permet à un attaquant d’envoyer un formulaire piégé qui supprime des fichiers sensibles du serveur, comme wp-config.php. Cela peut désactiver votre site et ouvrir la porte à une prise de contrôle.

Ce qu’on recommande:
Mettez à jour immédiatement vers la version 1.44.3 ou supérieure. Profitez-en pour vérifier les permissions de vos fichiers et désactiver les options de suppression si elles ne sont pas essentielles.

3. Thème Motors (CVE‑2025‑4322)

  • Versions touchées: jusqu’à 5.6.67
  • Corrigé dans: version 5.6.68
  • Installations actives: plus de 250 000
  • Gravité (CVSS): 9.8 / 10 (critique)

Le problème:
Une faille dans la fonction de réinitialisation de mot de passe permet à un utilisateur non authentifié d’obtenir un accès administrateur. La faille est déjà exploitée activement, ce qui la rend particulièrement urgente.

Ce qu’on recommande:
Passez sans attendre à la version 5.6.68 ou plus récente. Si vous ne savez pas quelle version vous utilisez ou si vous avez un doute, communiquez rapidement avec votre développeur ou votre hébergeur.

Quelques conseils pour garder votre site sécurisé

Si votre site utilise un de ces outils, c’est le moment d’agir. Ces failles peuvent mener à des piratages, pertes de données, etc.

Voici comment mieux protéger votre site WordPress:

  • ✅ Gardez vos extensions, thèmes et WordPress à jour
  • ✅ Supprimez les éléments inutilisés ou obsolètes
  • ✅ Effectuez des sauvegardes régulières
  • ✅ Utilisez des mots de passe solides et uniques
  • ✅ Activez un pare-feu applicatif web (WAF)

Chez WHC, on est là pour vous. Nos services d'hébergement WordPress, de détection de maliciel, et notre soutien 24/7 sont là pour vous aider à garder votre site fiable et sécurisé.

Besoin d’un coup de main? Contactez notre équipe ou explorez nos solutions de sécurité WordPress.

 



À propos de l'auteur : Daniel Bedard

En tant que rédacteur de contenu de WHC, Dan passe la plupart de son temps à taper sur son clavier. En dehors du travail, il joue de la musique et de la comédie, et réfléchit souvent au poids écrasant de l'existence.

Voir tous les articles de cet auteur Intéressé à écrire pour Hébergement Web Canada ?
Hébergement Web Canada propose une infrastructure rapide, fiable et disponible 24/7. En savoir plus sur WHC