Un nouveau rapport sur l’état de la sécurité de WordPress a attiré l’attention sur la menace cachée posée par les plugins premium et sur le fait que les pirates exploitent de plus en plus les vulnérabilités avant que de nombreux sites ne puissent les corriger.
La sécurité est de plus en plus une course contre la montre
Le rapport State of WordPress Security de la société de sécurité Patchstack WordPress montre que les pirates informatiques exploitent l’écart entre le moment où une vulnérabilité est découverte et le moment où un site décide de la corriger. L’hypothèse traditionnelle est que les propriétaires de sites ont le temps d’évaluer, de corriger et de déployer des correctifs, mais ce n’est de plus en plus le cas.
Le délai entre la découverte et le correctif du site est réduit par une exploitation plus rapide, parfois presque immédiatement après la divulgation. Les processus défensifs qui dépendent de l’application ponctuelle de correctifs se transforment en une course contre la montre lorsque l’exploitation commence en quelques heures.
La pile de correctifs rapport explique :
« En analysant la vitesse à laquelle les attaquants exploitent de nouvelles vulnérabilités, nous avons constaté qu’environ la moitié des vulnérabilités à fort impact sont exploitées dans les 24 heures.
Lorsque l’on prend en compte l’intensité de l’exploitation (en pondérant en fonction de l’activité observée), le temps médian pondéré pour la première exploitation est de 5 heures. Cela suggère que les vulnérabilités les plus ciblées sont généralement attaquées en quelques heures, et non en quelques jours.
Les propriétaires de sites doivent intégrer ces connaissances dans leur flux de travail de sécurité afin de minimiser le délai entre la réception d’une notification d’une vulnérabilité et sa mise à jour.
L’échelle d’exposition s’élargit
Le volume des vulnérabilités divulguées a fortement augmenté en 2025. La plupart de ces vulnérabilités ont été trouvées dans les plugins plutôt que dans le cœur de WordPress, plaçant la majorité de l’exposition dans la couche d’extension maintenue par des milliers de développeurs indépendants.
Dans le même temps, le rapport identifie des pressions supplémentaires affectant la sécurité de WordPress :
- Visibilité limitée sur les composants premium du marché
- Délais d’exploitation rapides après la divulgation
- Comportement d’attaque persistant en plusieurs étapes après compromission
Une couche d’application en expansion qui comprend des bibliothèques ou des packages de logiciels tiers et codés sur mesure (comme les composants JavaScript ou PHP)
Le rapport explique :
« Au total, 11 334 nouvelles vulnérabilités ont été découvertes dans l’écosystème WordPress en 2025, soit une augmentation de 42 % par rapport à 2024.
Parmi toutes les nouvelles vulnérabilités découvertes, 4 124 (36 %) représentaient une menace réelle et étaient suffisamment graves pour nécessiter des règles de protection RapidMitigate.
1 966 (17 %) vulnérabilités présentaient un score de gravité élevé, ce qui signifie qu’elles étaient susceptibles d’être exploitées dans le cadre d’attaques automatisées à grande échelle.
En fait, davantage de vulnérabilités de grande gravité ont été découvertes dans l’écosystème WordPress en 2025 qu’au cours des deux années précédentes combinées. Cette augmentation provient en grande partie de composants premium sur des marchés comme Envato, et met en évidence le problème de visibilité en matière de sécurité de ces composants et du marché. Étant donné que ces composants ne sont pas facilement accessibles aux chercheurs en sécurité, il est plus difficile d’y détecter des problèmes de sécurité.
Les résultats montrent que le risque est réparti à la fois dans l’écosystème des plugins gratuits et dans les composants du marché premium, où une visibilité limitée a rendu les failles plus difficiles à détecter.
Les composants Premium affichent des taux d’exploitabilité élevés
Les plugins et thèmes du marché premium font souvent l’objet d’un examen moins indépendant en raison d’un accès limité au code. Mais moins de vulnérabilités découvertes ne signifie pas nécessairement un risque moindre. Les données de Patchstack montrent qu’un pourcentage élevé de vulnérabilités trouvées dans les plugins et thèmes premium étaient exploitables dans des attaques réelles.
Patchstack explique :
« Pour comprendre le paysage des menaces liées aux plugins et aux thèmes premium, nous avons mené l’année dernière des recherches ciblées sur des marchés premium tels que Envato.
Au total, nous avons reçu 1 983 rapports de vulnérabilités valides pour les composants Premium ou freemium, soit 29 % du total des rapports.
59 % d’entre elles étaient des vulnérabilités à priorité élevée de Patchstack qui peuvent être utilisées dans des attaques de masse automatisées.
17 % supplémentaires avaient une priorité de patchstack moyenne, ce qui signifie qu’ils peuvent être exploités dans le cadre d’attaques plus ciblées.
Cela signifie que 76 % des vulnérabilités trouvées dans les composants Premium étaient exploitables lors d’attaques réelles.
De plus, notre programme Zero Day a découvert 33 vulnérabilités hautement critiques dans les composants Premium, contre seulement 12 dans les composants gratuits.
Ce qu’il faut retenir, c’est qu’un pourcentage élevé de vulnérabilités trouvées dans les composants premium étaient exploitables dans le cadre d’attaques réelles.
Retards dans la disponibilité des correctifs
Les mises à jour logicielles sont la pierre angulaire de la sécurité des plugins et des thèmes WordPress, mais elles dépendent de la disponibilité des correctifs lorsque des vulnérabilités sont révélées, ce qui n’est pas toujours le cas. Les retards dans les correctifs exposent les propriétaires de sites pendant la période où l’intérêt pour l’exploitation est le plus élevé.
Patchstack partage que les développeurs de plugins et de thèmes n’ont pas réussi à fournir un correctif en temps opportun pour 46 % des vulnérabilités.
Les défenses des infrastructures ne bloquent qu’une minorité d’attaques
Les fournisseurs d’hébergement s’appuient sur des pare-feu d’applications Web et des défenses similaires, mais les tests ont montré que ces mesures ne bloquaient qu’une minorité des attaques de vulnérabilité WordPress.
Patchstack partage les résultats de ses tests :
« Dans un test d’intrusion à grande échelle mené auprès de sociétés d’hébergement Web populaires, seules 26 % de toutes les attaques de vulnérabilité ont été bloquées. »
Les vulnérabilités plus anciennes restent des cibles actives
Il est surprenant de constater que les attaquants continuent d’exploiter d’anciennes vulnérabilités. Patchstack indique que seules quatre des dix vulnérabilités les plus ciblées ont été publiées en 2025, les autres étant plus anciennes.
« En examinant les dix principales vulnérabilités les plus ciblées par les attaquants, nous constatons que seules quatre ont été publiées en 2025. »
Ils répertorient les anciennes versions suivantes de plugins que les sites n’ont pas mises à jour vers des versions sécurisées :
- Plugin WordPress LiteSpeed Cache <= 5.7 (2024)
- Plugin WordPress tagDiv Composer < 4.2 (2023)
- Plugin WordPress prêt à l’emploi Elementor Addons <= 1.7.13 (2024)
- Plugin WordPress GiveWP <= 3.14.1 (2024)
- Plugin WordPress LiteSpeed Cache <= 6.3.0.1 (2024)
- Plugin de paiement WordPress WooCommerce <= 5.6.1 (2023)
L’activité post-compromis met l’accent sur la persistance
Une fois l’accès obtenu, les attaquants cherchent de plus en plus à maintenir l’accès après la compromission initiale plutôt que de déployer des charges utiles ponctuelles.
Patchstack explique :
« Cette augmentation soutenue suggère que les attaquants vont au-delà des compromissions opportunistes et ponctuelles. Au lieu de cela, ils investissent dans une infrastructure persistante, en implantant des téléchargeurs qui permettent des attaques en plusieurs étapes et un accès à long terme aux sites compromis.
Une infrastructure persistante signifie que les attaquants ne se contentent pas d’exploiter les vulnérabilités une seule fois pour ensuite passer à autre chose. Ils établissent des points d’ancrage qui leur permettent de revenir, de déployer des charges utiles supplémentaires et de maintenir l’accès même après le nettoyage des infections initiales.
Les logiciels malveillants modernes s’intègrent fréquemment dans des fichiers légitimes ou utilisent des techniques d’exécution pour éviter d’être détectés. Cela rend le nettoyage plus difficile que la simple suppression de fichiers manifestement malveillants.
Les perspectives 2026
Patchstack prévoit que le code exécutant les sites WordPress continuera à s’étendre au-delà des composants packagés traditionnels. La sécurisation des environnements WordPress nécessite désormais de tenir compte du code qui se trouve en dehors des distributions standard de plugins et de thèmes.
La surface d’attaque en expansion comprend des fonctionnalités personnalisées, du code tiers ajouté via des composants JavaScript ou PHP et du code généré par l’IA, qui peuvent tous ne pas passer par les canaux normaux de mise à jour des plugins ou des thèmes. La surface d’attaque en expansion comprend :
- Plugins codés sur mesure développés pour des sites individuels ou des agences
- Packages JavaScript et PHP intégrés aux projets en tant que dépendances
- Code généré par l’IA utilisé pour créer des fonctionnalités ou des frontaux entiers
La sécurisation de WordPress nécessite désormais une visibilité sur les composants codés et générés personnalisés, et pas seulement sur les plugins et les thèmes installés.
Image en vedette par Shutterstock/Kues
Commentaires