Début août 2024, une faille critique a été découverte dans un plugin WordPress très populaire utilisé sur plus de 600 000 sites. Classée CVSS 9.8, cette vulnérabilité permettait à un attaquant non authentifié de prendre le contrôle complet d’un site, d’exécuter des scripts malveillants ou encore de modifier la base de données.
Ce type de faille n’est hélas pas rare, mais celle-ci se démarque par sa simplicité d’exploitation. En quelques requêtes HTTP, un acteur malveillant pouvait injecter du code ou créer un compte administrateur “fantôme”, invisible dans l’interface WordPress mais bel et bien actif dans le système.
● Une réaction tardive pour un plugin aussi répandu
Le plus critiquable dans cette affaire est la lenteur avec laquelle l’éditeur du plugin a réagi.
Bien que la faille ait été signalée fin juillet, le correctif complet n’a été publié que le 8 août, laissant plus d’une semaine d’exploitation libre aux attaquants. Cette période de flottement a permis à plusieurs campagnes automatisées de scanner la totalité du web pour cibler les sites vulnérables.
● Un rappel : WordPress n’est pas dangereux, mais l’écosystème l’est
Une fois de plus, ce n’est pas WordPress lui-même qui pose problème, mais l’immensité de son écosystème. Les plugins gratuits et leurs mainteneurs parfois débordés représentent une surface d’attaque considérable.
Les petites entreprises et les indépendants, qui n’ont pas forcément les moyens de surveiller activement la sécurité de leur site, se retrouvent en première ligne.
● Comment se protéger ?
– Mettre à jour IMMEDIATEMENT le plugin concerné.
– Inspecter les comptes administrateurs.
– Vérifier la présence d’éventuels fichiers suspects dans wp-content.
– Installer une extension de sécurité sérieuse (Wordfence, iThemes Security).
– Mettre en place un monitoring automatique des fichiers.
Cet incident d’août 2024 rappelle qu’un site WordPress n’est jamais complètement “installé et oublié”. Sans maintenance, même le site le plus simple peut devenir une porte d’entrée pour les cyberattaques.
