WordPress propulse encore une énorme partie du web en 2026, et c’est justement pourquoi les attaquants continuent de le cibler.

La plupart du temps, les plus grandes vulnérabilités se trouvent dans les extensions (plugins), ouvrant la porte à des prises de contrôle administrateur, des téléversements malveillants, des scripts injectés ou même à la compromission complète d’un site.

Chez WHC, on garde un œil attentif sur l’écosystème WordPress pour permettre aux clients d’appliquer les correctifs rapidement, de rester sécurisés et d’éviter des interruptions coûteuses.

Voici cinq vulnérabilités à haut risque que les équipes d’hébergement surveillent cet hiver, et ce qu’on recommande de faire.

1. WPvivid Backup & Migration (CVE-2026-1357)

• Versions affectées : ≤ 0.9.123
  
• Correctif publié dans : 0.9.124
  
• Installations actives : 900 000+
  
• Sévérité (CVSS) : 9,8 / 10 (Critique)
  

Quel est le risque?

Cette vulnérabilité permet des téléversements de fichiers sans authentification, pouvant mener à l’exécution de code à distance et à la prise de contrôle complète du site.

Le risque est plus élevé lorsque la fonctionnalité « recevoir une sauvegarde d’un autre site » de WPvivid est activée. Elle est désactivée par défaut, mais les sites qui l’ont activée peuvent être exposés.

Quoi faire maintenant

• Mettre à jour vers la version 0.9.124 ou plus récente immédiatement
  
• Désactiver la fonction « recevoir des sauvegardes » si elle n’est pas utilisée activement
  
• Supprimer les extensions de sauvegarde ou de migration inutilisées

2. Advanced Custom Fields: Extended (CVE-2025-14533)

• Versions affectées : ≤ 0.9.2.1
  
• Correctif publié dans : 0.9.2.2
  
• Installations actives : 100 000+
  
• Sévérité (CVSS) : 9,8 / 10 (Critique)
  

Quel est le risque?

Il s’agit d’une faille d’escalade de privilèges sans authentification dans Advanced Custom Fields: Extended, une extension WordPress comptant plus de 100 000 installations actives.

Si un formulaire d’action utilisateur expose ou mappe incorrectement un champ « rôle », un attaquant pourrait s’accorder un accès administrateur. À partir de là, les dégâts peuvent être majeurs.

Quoi faire maintenant

• Mettre à jour vers la version 0.9.2.2 ou plus récente
• Vérifier tous les formulaires ACFE et les actions utilisateurs
• Retirer la sélection ou l’attribution de rôles sauf si absolument nécessaire
  

Si vos formulaires touchent aux rôles utilisateurs, on recommande de les vérifier dès aujourd’hui.

3. CleanTalk Anti-Spam (CVE-2026-1490)

• Versions affectées : ≤ 6.71
  
• Correctif publié dans : 6.72
  
• Installations actives : 200 000+
  
• Sévérité (CVSS) : 9,8 / 10 (Critique)
  

Quel est le risque?

Il s’agit d’un contournement d’autorisation lié aux vérifications DNS inversées.

Dans les versions vulnérables de CleanTalk, un attaquant non authentifié pourrait être en mesure de déclencher l’installation arbitraire d’extensions, ce qui peut mener à une compromission complète du site.

Même si les scores varient selon les chercheurs en sécurité, le message est clair : c’est sérieux.

Quoi faire maintenant

• Mettre à jour vers la version 6.72 ou plus récente immédiatement
  
• Passer en revue les extensions installées après la mise à jour
  
• Supprimer toute extension inattendue ou inutilisée
  

Des extensions inconnues sont souvent le premier signe qu’un problème est survenu.

4. PixelYourSite (CVE-2026-1841)

• Versions affectées : ≤ 11.2.0
  
• Correctif publié dans : 11.2.0.1
  
• Installations actives : 500 000+
  
• Sévérité (CVSS) : 7,2 / 10 (Élevée)
  

Quel est le risque?

PixelYourSite contient une vulnérabilité XSS persistante sans authentification.

En clair : des attaquants pourraient injecter des scripts qui s’exécutent dans le navigateur des visiteurs.

Cela peut entraîner :

• Le vol de sessions administrateur
  
• Du spam de redirection
  
• Problèmes SEO
• Des avertissements de logiciels malveillants dans les résultats de recherche
  

Quoi faire maintenant

• Mettre à jour vers la version 11.2.0.1 ou plus récente
  
• Vérifier la présence de scripts ou redirections inconnus
  
• Examiner les extraits de suivi (tracking) et les sections de code personnalisé
  

Les failles XSS peuvent rester discrètes. Une vérification rapide maintenant peut éviter des heures de nettoyage plus tard.

5. Starter Templates (Astra Sites) (CVE-2025-13065)

• Versions affectées : ≤ 4.4.41
  
• Correctif publié dans : 4.4.42
  
• Installations actives : 2+ millions
  
• Sévérité (CVSS) : 8,8 / 10 (Élevée)
  

Quel est le risque?

L’extension Starter Templates (Astra Sites) contient une vulnérabilité de téléversement arbitraire de fichiers authentifié touchant les rôles Auteur+.

Si un attaquant obtient un accès de niveau auteur (par hameçonnage, réutilisation de mot de passe ou via une autre faille), il pourrait téléverser des fichiers dangereux et aggraver la situation.

Une petite brèche peut ainsi devenir un incident majeur.

Quoi faire maintenant

• Mettre à jour vers la version 4.4.42 ou plus récente
  
• Limiter les comptes auteur
  
• Supprimer les anciens collaborateurs
  
• Désactiver les comptes inutilisés
  
• Exiger des mots de passe forts et activer l’authentification à deux facteurs (2FA)

Conseils finaux pour rester sécuritaire

Les vulnérabilités de sécurité ne sont pas que des « problèmes techniques ».

Elles peuvent mener à :

• Des pages défigurées
  
• Le vol de données clients
  
• Des pénalités SEO
  
• Un domaine placé sur liste noire
  
• De réelles pertes de revenus
  

Et le nettoyage coûte toujours plus cher que la prévention.

Voici votre liste de vérification sécurité pour l’hiver :

• Garder WordPress, les extensions et les thèmes à jour
  
• Activer les mises à jour automatiques lorsque pertinent
  
• Supprimer les extensions et thèmes inutilisés (inactif ≠ sécuritaire)
  
• Maintenir des sauvegardes testées
  
• Utiliser des mots de passe forts et activer le 2FA
• Ajouter un pare-feu applicatif web (WAF)
  
• Surveiller les journaux d’activité pour détecter toute activité inhabituelle
  

De petites habitudes peuvent prévenir de gros incidents.

Besoin d’un coup de main?

Chez WHC, on aide les clients à garder une longueur d’avance sur les menaces de sécurité WordPress, chaque jour.

De l’hébergement WordPress géré à l’analyse de logiciels malveillants, en passant par un support technique humain, notre équipe est là lorsqu’un problème survient.

La sécurité n’est pas une tâche ponctuelle. C’est un processus continu.

Et on est là pour vous.