Solutions expertes pour protéger, réparer et maintenir votre site WordPress
Besoin d’une maintenance régulière ? D’une assistance technique sur mesure ? d’une réparation rapide ou d’un nettoyage après un piratage ? Nous sommes là pour vous.
Nos experts interviennent rapidement pour garantir la sécurité, la performance et la fiabilité de votre site.
SÉCURISATION
NETTOYAGE
AUDIT
Nos services pour les sites WordPress
Assistance technique WordPress – Un support réactif et efficace
Vous rencontrez des problèmes techniques sur votre site WordPress ? Qu’il s’agisse d’un bug, d’une erreur d’affichage, d’un conflit entre plugins ou d’une difficulté à configurer votre site, notre équipe d’experts WordPress est là pour vous aider.
Nettoyage et sécurisation de Site WordPress piraté
Votre site WordPress a été compromis par un piratage ? Une intrusion malveillante peut entraîner une perte de référencement, un vol de données ou un avertissement Google, impactant gravement votre activité. Nous intervenons sous 48h pour nettoyer, restaurer et sécuriser votre site.
Maintenance WordPress – Préventive, corrective et évolutive
Un site WordPress performant nécessite une maintenance régulière pour éviter les bugs, renforcer la sécurité et améliorer le référencement. Notre service de maintenance WordPress garantit la stabilité, la rapidité et l’évolution continue de votre site.
Réparation WordPress – Intervention rapide sur site en panne
Votre site WordPress ne fonctionne plus correctement ? Une erreur 500, un conflit de plugin ou une mise à jour défectueuse peuvent rendre votre site inaccessible. Nous intervenons rapidement pour résoudre tous vos problèmes techniques et remettre votre site en état de marche.
Pourquoi nous choisir ?
Expérience
Parce que pour un bon accompagnement WordPress, il faut bien le connaitre.
Nous sommes une équipe d’expert wordpress avec plusieurs années d’expérience, nous maîtrisons tous les aspects techniques.
Réponse rapide
Parce qu’une panne, un dysfonctionnement survient souvent au moment qu’il ne faut pas.
Une question ne peux pas attendre plusieurs jours, nos experts agissent en moins de 24 heures pour les services urgents.
Solutions complètes
Parce que réparer WordPress ne suffit pas, il faut aussi bien protéger.
De la prévention à la résolution des problèmes, nous vous accompagnons à chaque étape.
Situé en France
Parce que la proximité est importante pour établir une relation de confiance sur le long terme.
Notre entreprise est localisée en France, nos experts sont tous situés en France en Maine-et-Loire à Angers.
Nos autres services
Hébergement de votre site et sauvegarde de vos données
Serveur régulièrement mis à jour
Données quodiennement sauvegardées et répliquées
Vos sites fréquemment mis à jour
Intervention à la demande pour des modifications
Gestion de votre messagerie et de vos domaines
Configuration de vos domaines
Renouvellement de vos domaines
Renouvellement de vos certificats
Gestion de vos boîtes mails
Déblacklistage en cas de soucis d’envoi
Nos engagements
Fiabilité
Votre site entre de bonnes mains avec des solutions pérennes.
Disponibilité
Un support réactif pour répondre à toutes vos demandes.
Sérénité
Vous concentrez sur votre activité pendant que nous gérons l’aspect technique.
Actualités de la sécurité WordPress
AI Engine 3.4.9 – Augmentation des privilèges authentifiés (abonnés +) via une autorisation manquante dans le jeton de porteur MCP OAuth
Le moteur AI – Le plugin Chatbot, AI Framework & MCP for WordPress pour WordPress est vulnérable à l’escalade de privilèges dans la version 3.4.9. Cela est dû à l’absence d’application des fonctionnalités WordPress dans le chemin d’autorisation du jeton de porteur MCP OAuth, où tout jeton OAuth valide entraîne l’octroi de l’accès MCP sans vérifier les privilèges d’administrateur. Cela permet aux attaquants authentifiés (Abonné+) d'invoquer les outils MCP de niveau administrateur et d'élever les privilèges à l'administrateur.
Solution : Mise à jour vers la version 3.5.0 ou une version corrigée plus récente
Aller sur le site AI Engine – The Chatbot, AI Framework & MCP for WordPress
Publié le samedi 16 mai 2026
FOX – Currency Switcher Professional pour WooCommerce <= 1.4.5 - Autorisation manquante pour la suppression de la configuration authentifiée (Contributeur+)
Le plugin FOX – Currency Switcher Professional pour WooCommerce pour WordPress est vulnérable à la perte de données non autorisée en raison d'un contrôle de capacité manquant sur la fonction « admin_head » dans toutes les versions jusqu'à la 1.4.5 incluse. Cela permet aux attaquants authentifiés, avec un accès de niveau Contributeur et supérieur, de supprimer l'intégralité de la configuration multi-devises en visitant n'importe quelle page wp-admin avec le paramètre `woocs_reset` ajouté. De plus, comme aucun cas occasionnel n'est vérifié, cela est également exploitable via Cross-Site Request Forgery contre n'importe quel administrateur. La vulnérabilité peut également être exploitée par les utilisateurs de niveau abonné si le site est configuré pour autoriser l'accès des abonnés aux pages « wp-admin ».
Solution : Mise à jour vers la version 1.4.6 ou une version corrigée plus récente
Aller sur le site FOX – Currency Switcher Professional for WooCommerce
Publié le jeudi 14 mai 2026
Fluent Forms <= 6.2.0 - Contournement de l'autorisation authentifiée (Abonné+) via le paramètre 'table'
Le plug-in Fluent Forms – Formulaires de contact personnalisables, enquêtes, quiz et formulaires conversationnels pour WordPress est vulnérable à la référence d'objet directe non sécurisée dans toutes les versions jusqu'à la version 6.2.0 incluse via la fonction exportEntries en raison d'une validation manquante sur une clé contrôlée par l'utilisateur. Cela permet aux attaquants authentifiés, disposant d'un accès au niveau du gestionnaire Fluent Forms et supérieur, de contourner les restrictions d'accès au niveau du formulaire pour accéder aux soumissions à partir de formulaires qu'ils ne sont pas autorisés à afficher, d'exporter des données à partir de tables de base de données arbitraires et d'énumérer les noms de tables de base de données via la divulgation de messages d'erreur.
Solution : Mise à jour vers la version 6.2.1 ou une version corrigée plus récente
Aller sur le site Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder
Publié le mercredi 13 mai 2026
Fluent Forms <= 6.1.21 - Contournement de l'autorisation authentifiée (Abonné+) via le paramètre 'form_id'
Le plugin Fluent Forms pour WordPress est vulnérable au contournement d'autorisation via la clé contrôlée par l'utilisateur dans toutes les versions jusqu'à la 6.1.21 incluse. Cela est dû au fait que la classe SubmissionPolicy autorise les actions au niveau de la soumission (lire, modifier, supprimer, ajouter des notes) basées sur un paramètre de requête `form_id` fourni par l'utilisateur. Cela permet aux attaquants authentifiés, avec un accès Fluent Forms Manager limité à des formulaires spécifiques, de lire, de modifier le statut, d'ajouter des notes et de supprimer définitivement les soumissions de formulaire appartenant à tout autre formulaire en usurpant le paramètre form_id d'un formulaire pour lequel ils sont autorisés.
Solution : Mise à jour vers la version 6.2.0 ou une version corrigée plus récente
Aller sur le site Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder
Publié le mercredi 13 mai 2026
Burst Statistics 3.4.0 - 3.4.1.1 - Contournement de l'authentification pour prendre le contrôle du compte administrateur
Le plugin Burst Statistics – Privacy-Friendly WordPress Analytics (Google Analytics Alternative) pour WordPress est vulnérable au contournement d’authentification dans les versions 3.4.0 à 3.4.1.1. Cela est dû à une gestion incorrecte des valeurs de retour dans la fonction `is_mainwp_authenticated()` lors de la validation des mots de passe d'application à partir de l'en-tête Authorization. Cela permet à des attaquants non authentifiés, connaissant le nom d'utilisateur d'un administrateur, d'usurper l'identité de cet administrateur pendant la durée de la demande en fournissant n'importe quel mot de passe d'authentification de base aléatoire permettant une élévation de privilèges.
Solution : Mise à jour vers la version 3.4.2 ou une version corrigée plus récente
Aller sur le site Burst Statistics – Privacy-Friendly WordPress Analytics (Google Analytics Alternative)
Publié le mercredi 13 mai 2026
Sauvegarde de base de données pour WordPress <= 2.5.2 - Autorisation manquante pour la lecture et la suppression de fichiers arbitraires non authentifiés
Le plugin Database Backup for WordPress pour WordPress est vulnérable à la lecture et à la suppression arbitraires non autorisées de fichiers dans toutes les versions jusqu'à la version 2.5.2 incluse. Cela est dû au fait que le plugin n'applique pas correctement la valeur de retour de son contrôle d'autorisation combiné à un paramètre de répertoire de sauvegarde contrôlé par l'utilisateur. Cela permet à des attaquants non authentifiés de lire et de supprimer des fichiers arbitraires sur le serveur, entraînant une exposition d'informations sensibles et une potentielle prise de contrôle du site. Remarque : Cette vulnérabilité n'est exploitable que dans les environnements WordPress multisites où existe la fonction obsolète is_site_admin().
Solution : Mise à jour vers la version 2.5.3 ou une version corrigée plus récente
Aller sur le site Database Backup for WordPress
Publié le mercredi 13 mai 2026
Smart Manager – Modification groupée avancée de WooCommerce et gestion des stocks <= 8.85.0 – Augmentation de privilèges authentifiée (Contributeur+)
Le plugin Smart Manager – Advanced WooCommerce Bulk Edit & Inventory Management pour WordPress est vulnérable à l’escalade de privilèges dans toutes les versions jusqu’à et y compris la 8.85.0. Cela permet aux attaquants authentifiés, disposant d’un accès de niveau Contributeur et supérieur, d’élever leurs privilèges au niveau de ceux d’un administrateur.
Solution : Mise à jour vers la version 8.86.0 ou une version corrigée plus récente
Aller sur le site Smart Manager – Advanced WooCommerce Bulk Edit & Inventory Management
Publié le mardi 12 mai 2026
Frontend utilisateur : publication frontale alimentée par l'IA, répertoire des utilisateurs, profil, adhésion et enregistrement des utilisateurs <= 4.3.1 - Injection d'objets PHP authentifiés (abonnés +)
Le plug-in User Frontend : AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration pour WordPress est vulnérable à la désérialisation des données non fiables dans les versions jusqu'à 4.3.1 incluses. Cela est dû à une validation d'entrée et une vérification de type insuffisantes sur le paramètre wpuf_files lors de la soumission du formulaire, combinées à une désérialisation inconditionnelle via Maybe_unserialize() lors de l'affichage du contenu de la publication. Cela permet aux attaquants authentifiés, disposant d'un accès au niveau de l'abonné et supérieur, d'injecter des objets PHP arbitraires, qui peuvent être exploités pour exécuter du code arbitraire, supprimer des fichiers arbitraires ou effectuer d'autres actions malveillantes si une chaîne POP est présente sur le système cible.
Solution : Mise à jour vers la version 4.3.2 ou une version corrigée plus récente
Aller sur le site User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration
Publié le jeudi 07 mai 2026
WP-Optimize <= 4.5.2 - Suppression arbitraire de fichiers authentifiés (Auteur +) via la méta de publication 'fichier original'
Le plugin WP-Optimize – Cache, Compress images, Minify & Clean to boost page speed & performance pour WordPress est vulnérable à la suppression arbitraire de fichiers en raison d'une validation insuffisante du chemin de fichier dans la fonction unscheduled_original_file_deletion dans toutes les versions jusqu'à 4.5.2 incluse. Cela permet aux attaquants authentifiés, avec un accès au niveau de l'auteur et supérieur, de supprimer des fichiers arbitraires sur le serveur, ce qui peut facilement conduire à l'exécution de code à distance lorsque le bon fichier est supprimé (comme wp-config.php). Cela est possible car « fichier original » est une clé méta publique (non protégée) — elle ne commence pas par un trait de soulignement — permettant aux auteurs de le créer ou de le modifier librement sur leurs propres pièces jointes via le formulaire standard d'édition de média ou l'API REST.
Solution : Mise à jour vers la version 4.5.3 ou une version corrigée plus récente
Aller sur le site WP-Optimize – Cache, Compress images, Minify & Clean database to boost page speed & performance
Publié le mercredi 06 mai 2026
Importer et exporter des utilisateurs et des clients <= 2.0.8 - Augmentation de privilèges authentifiée (Abonné +) via des champs méta de capacité multisite
Le plugin d'importation et d'exportation d'utilisateurs et de clients pour WordPress est vulnérable à l'élévation de privilèges dans toutes les versions jusqu'à la version 2.0.8 incluse via la fonction `save_extra_user_profile_fields()`. Cela est dû à une liste de blocage incomplète qui restreint correctement les clés méta de capacité pour le site principal (par exemple, `wp_capabilities`, `wp_user_level`) mais ne parvient pas à bloquer les clés méta équivalentes pour tout autre sous-site dans un réseau WordPress multisite (par exemple, `wp_2_capabilities`, `wp_2_user_level`), permettant à ces clés de passer la vérification `in_array()` et d'être écrites directement dans la méta utilisateur. via `update_user_meta()`. Cela permet aux attaquants authentifiés, disposant d'un accès au niveau de l'abonné et supérieur, d'élever leurs privilèges au rang d'administrateur sur n'importe quel sous-site du réseau multisite en soumettant une mise à jour de profil contrefaite à `/wp-admin/profile.php`. L'exploitation nécessite qu'un administrateur ait préalablement importé un fichier CSV contenant des en-têtes de colonne de capacités préfixées par multisite et qu'il ait activé l'option « Afficher les champs dans le profil ? » option, ce qui fait que ces clés sont stockées dans l'option `acui_columns` et exposées en tant que champs modifiables sur la page de profil utilisateur.
Solution : Mise à jour vers la version 2.0.9 ou une version corrigée plus récente
Aller sur le site Import and export users and customers
Publié le vendredi 01 mai 2026
WCFM – Frontend Manager pour WooCommerce avec les listes d'abonnements de réservations compatibles <= 6.7.25 – Référence d'objet direct non sécurisée authentifiée (fournisseur +) à la suppression arbitraire d'un utilisateur
Le plugin WCFM – Frontend Manager pour WooCommerce avec Bookings Subscription Listings Compatible pour WordPress est vulnérable à la référence d'objet directe non sécurisée dans toutes les versions jusqu'à la 6.7.25 incluse via le « wcfm_delete_wcfm_customer » en raison d'une validation manquante sur la clé contrôlée par l'utilisateur « customerid ». Cela permet aux attaquants authentifiés, disposant d'un accès au niveau du fournisseur et supérieur, de supprimer des utilisateurs arbitraires, y compris des administrateurs.
Solution : Mise à jour vers la version 6.7.26 ou une version corrigée plus récente
Aller sur le site WCFM – Frontend Manager for WooCommerce
Publié le vendredi 01 mai 2026
WP Editor <= 1.2.9.2 - Contrefaçon de requêtes intersites vers l'exécution de code à distance via un plugin et un éditeur de fichiers de thème
Le plugin WP Editor pour WordPress est vulnérable à la falsification de requêtes intersites dans toutes les versions jusqu'à la 1.2.9.2 incluse. Cela est dû à l'absence de vérification occasionnelle dans les fonctions 'add_plugins_page' et 'add_themes_page'. Cela permet à des attaquants non authentifiés d'écraser des fichiers PHP de plugins et de thèmes arbitraires avec du code contrôlé par l'attaquant via une fausse requête, à condition qu'ils puissent tromper un administrateur de site en lui faisant effectuer une action telle que cliquer sur un lien.
Solution : Mise à jour vers la version 1.2.9.3 ou une version corrigée plus récente
Aller sur le site WP Editor
Publié le jeudi 30 avril 2026
LatePoint <= 5.4.1 - Augmentation des privilèges authentifiés (agent +) vers l'administrateur via la capacité « connecter le client à l'utilisateur wp »
Le plugin LatePoint – Calendar Booking Plugin for Appointments and Events pour WordPress est vulnérable à l’escalade de privilèges dans les versions jusqu’à 5.4.1 incluse. Cela est dû à un contrôle d'autorisation manquant dans la méthode execute() de la capacité connect-customer-to-wp-user, qui nécessite uniquement la capacité customer__edit accordée au rôle latepoint_agent par défaut, sans vérifier si l'ID utilisateur WordPress cible appartient à un compte privilégié. Cela permet aux attaquants authentifiés dotés du rôle latepoint_agent de lier n'importe quel enregistrement client LatePoint au compte WordPress d'un administrateur, puis de réinitialiser le mot de passe de l'administrateur via le flux normal de réinitialisation du mot de passe client, ce qui entraîne une prise de contrôle complète du site.
Solution : Mise à jour vers la version 5.4.2 ou une version corrigée plus récente
Aller sur le site LatePoint – Calendar Booking Plugin for Appointments and Events
Publié le lundi 27 avril 2026
Breeze Cache <= 2.4.4 - Téléchargement de fichiers arbitraires non authentifiés via fetch_gravatar_from_remote
Le plugin Breeze Cache pour WordPress est vulnérable aux téléchargements de fichiers arbitraires en raison de l'absence de validation du type de fichier dans la fonction « fetch_gravatar_from_remote » dans toutes les versions jusqu'à la 2.4.4 incluse. Cela permet à des attaquants non authentifiés de télécharger des fichiers arbitraires sur le serveur du site concerné, ce qui peut rendre possible l'exécution de code à distance. La vulnérabilité ne peut être exploitée que si « Héberger des fichiers localement - Gravatars » est activé, ce qui est désactivé par défaut.
Solution : Mise à jour vers la version 2.4.5 ou une version corrigée plus récente
Aller sur le site Breeze Cache
Publié le mercredi 22 avril 2026
Bibliothèque de liens <= 7.8.8 - Suppression arbitraire de fichiers authentifiés (Contributeur+)
Le plugin Link Library pour WordPress est vulnérable à la suppression arbitraire de fichiers en raison d’une validation insuffisante du chemin de fichier dans toutes les versions jusqu’à la 7.8.8 incluse. Cela permet aux attaquants authentifiés, avec un accès de niveau Contributeur et supérieur, de supprimer des fichiers arbitraires sur le serveur, ce qui peut facilement conduire à l'exécution de code à distance lorsque le bon fichier est supprimé (comme wp-config.php).
Solution : Mise à jour vers la version 7.8.9 ou une version corrigée plus récente
Aller sur le site Link Library
Publié le mercredi 22 avril 2026
Everest Forms <= 3.4.4 - Lecture et suppression arbitraires de fichiers non authentifiés via le paramètre 'old_files' du champ de téléchargement
Le plugin Everest Forms pour WordPress est vulnérable à la lecture et à la suppression arbitraires de fichiers dans toutes les versions jusqu'à la version 3.4.4 incluse. Cela est dû au fait que le plugin fait confiance aux données old_files contrôlées par l'attaquant provenant des soumissions de formulaires publics comme état de téléchargement légitime côté serveur, et convertit les URL fournies par l'attaquant en chemins de système de fichiers locaux en utilisant le remplacement de chaîne basé sur regex sans canonisation ni application des limites de répertoire. Cela permet à des attaquants non authentifiés de lire des fichiers locaux arbitraires (par exemple, wp-config.php) en injectant des charges utiles de parcours dans le paramètre du champ de téléchargement old_files, qui sont ensuite jointes aux e-mails de notification. La même résolution de chemin est également utilisée dans la routine de nettoyage post-e-mail, qui appelle unlink() sur le chemin résolu, ce qui entraîne la suppression du fichier ciblé après avoir été joint. Cela peut conduire à une compromission complète du site via la divulgation des informations d'identification de la base de données et des sels d'authentification de wp-config.php, ainsi qu'à un déni de service via la suppression de fichiers critiques. Condition préalable : le formulaire doit contenir un champ de téléchargement de fichier ou de téléchargement d'image et désactiver le stockage des informations d'entrée.
Solution : Mise à jour vers la version 3.4.5 ou une version corrigée plus récente
Aller sur le site Everest Forms – Contact Form, Payment Form, Quiz, Survey & Custom Form Builder
Publié le lundi 20 avril 2026
Forum wpForo <= 3.0.5 - Suppression arbitraire de fichiers authentifiés (abonnés +) via le chemin de fichier du champ de profil personnalisé
Le plugin wpForo Forum pour WordPress est vulnérable à la suppression arbitraire de fichiers dans les versions jusqu'à 3.0.5 incluse. Cela est dû à deux défauts cumulatifs : la méthode Members::update() ne valide ni ne restreint la valeur des champs de profil personnalisé de type fichier, permettant aux utilisateurs authentifiés de stocker un chemin arbitraire au lieu d'un chemin de téléchargement légitime ; et la fonction de désinfection wpforo_fix_upload_dir() dans ucf_file_delete() remappe uniquement les chemins qui correspondent au modèle attendu, et elle est transmise directement à la fonction unlink(). Cela permet aux attaquants authentifiés, disposant d'un accès au niveau de l'abonné et supérieur, de supprimer des fichiers arbitraires sur le serveur, ce qui peut facilement conduire à l'exécution de code à distance lorsque le bon fichier est supprimé (comme wp-config.php). Remarque : La vulnérabilité nécessite un champ de fichier personnalisé, qui nécessite le plugin complémentaire wpForo - User Custom Fields.
Solution : Mise à jour vers la version 3.0.6 ou une version corrigée plus récente
Aller sur le site wpForo Forum
Publié le lundi 20 avril 2026
CMP - Bientôt disponible et plugin de maintenance par NiteoThemes <= 4.1.16 - Autorisation manquante pour le téléchargement arbitraire de fichiers authentifiés (administrateur +) et l'exécution de code à distance
Le plugin CMP – Coming Soon & Maintenance Plugin de NiteoThemes pour WordPress est vulnérable au téléchargement de fichiers arbitraires et à l'exécution de code à distance dans toutes les versions jusqu'à la 4.1.16 incluse via l'action AJAX `cmp_theme_update_install`. Cela est dû au fait que la fonction vérifie uniquement la capacité « publish_pages » (disponible pour les éditeurs et les niveaux supérieurs) au lieu de « manage_options » (administrateurs uniquement), combinée à un manque de validation appropriée sur l'URL du fichier fourni par l'utilisateur et à aucune vérification du contenu du fichier téléchargé avant l'extraction. Cela permet aux attaquants authentifiés, avec un accès de niveau administrateur et supérieur, de forcer le serveur à télécharger et à extraire un fichier ZIP malveillant d'une URL distante contrôlée par un attaquant vers un répertoire accessible par le Web (`wp-content/plugins/cmp-premium-themes/`), ce qui entraîne l'exécution de code à distance. En raison du manque de disponibilité pour les éditeurs, ils ne peuvent pas exploiter cette vulnérabilité.
Solution : Mise à jour vers la version 4.1.17 ou une version corrigée plus récente
Aller sur le site CMP – Coming Soon & Maintenance Plugin by NiteoThemes
Publié le vendredi 17 avril 2026
Glisser-déposer plusieurs fichiers téléchargés pour le formulaire de contact 7 <= 1.3.9.6 - Téléchargement de fichiers arbitraires non authentifiés via le contournement de la liste noire des noms de fichiers non ASCII
Le plugin Glisser-déposer de téléchargement multiple de fichiers pour Contact Form 7 pour WordPress est vulnérable au téléchargement de fichiers arbitraires dans les versions jusqu'à 1.3.9.6 incluse. Cela est dû à une validation insuffisante du type de fichier qui se produit lorsque des types de liste noire personnalisés sont configurés, qui remplace la liste de refus d'extension dangereuse par défaut au lieu de fusionner avec elle, et à la fonction de désinfection wpcf7_antiscript_file_name() étant contournée pour les noms de fichiers contenant des caractères non-ASCII. Cela permet à des attaquants non authentifiés de télécharger des fichiers arbitraires, tels que des fichiers PHP, sur le serveur, qui peuvent être exploités pour réaliser l'exécution de code à distance.
Solution : Mise à jour vers la version 1.3.9.7 ou une version corrigée plus récente
Aller sur le site Drag and Drop Multiple File Upload for Contact Form 7
Publié le vendredi 17 avril 2026
LearnPress <= 4.3.2.8 - Autorisation manquante pour la suppression de réponses arbitraires non authentifiées au quiz
Le plugin LearnPress pour WordPress est vulnérable à la suppression de données non autorisée en raison d'une vérification de capacité manquante sur la fonction `delete_question_answer()` dans toutes les versions jusqu'à 4.3.2.8 incluse. Le plugin expose un nom occasionnel `wp_rest` dans le HTML de l'interface publique (`lpData`) aux visiteurs non authentifiés, et utilise ce nom occasionnel comme seule porte de sécurité pour le répartiteur AJAX `lp-load-ajax`. L'action `delete_question_answer` n'a aucune vérification de capacité ou de propriété. Cela permet aux attaquants non authentifiés de supprimer toute option de réponse au quiz en envoyant une requête POST contrefaite avec un nom occasionnel accessible au public.
Solution : Mise à jour vers la version 4.3.3 ou une version corrigée plus récente
Aller sur le site LearnPress – WordPress LMS Plugin for Create and Sell Online Courses
Publié le lundi 13 avril 2026
Meta Box <= 5.11.1 - Suppression arbitraire de fichiers authentifiés (Contributeur+)
Le plugin Meta Box pour WordPress est vulnérable à la suppression arbitraire de fichiers en raison d'une validation insuffisante du chemin de fichier dans toutes les versions jusqu'à la 5.11.1 incluse. Cela permet aux attaquants authentifiés, avec un accès de niveau Contributeur et supérieur, de supprimer des fichiers arbitraires sur le serveur, ce qui peut facilement conduire à l'exécution de code à distance lorsque le bon fichier est supprimé (comme wp-config.php).
Solution : Mise à jour vers la version 5.11.2 ou une version corrigée plus récente
Aller sur le site Meta Box
Publié le lundi 13 avril 2026
Formulaire MW WP <= 5.1.1 - Déplacement de fichiers arbitraires non authentifiés via regenerate_upload_file_keys
Le plugin MW WP Form pour WordPress est vulnérable au déplacement/lecture arbitraire de fichiers dans toutes les versions jusqu'à la 5.1.1 incluse. Cela est dû à une validation insuffisante du paramètre $name (clé de champ de téléchargement) transmis à la fonction generate_user_file_dirpath(), qui utilise path_join() de WordPress — une fonction qui renvoie les chemins absolus inchangés, en supprimant le répertoire de base prévu. La clé contrôlée par l'attaquant est injectée via le paramètre POST mwf_upload_files[], qui est chargé dans le modèle de données du plugin via _set_request_valiables(). Pendant le traitement du formulaire, regenerate_upload_file_keys() parcourt ces clés et appelle generate_user_filepath() avec la clé fournie par l'attaquant comme argument $name — la clé survit à la validation car le fichier ciblé (par exemple, wp-config.php) existe réellement au niveau du chemin absolu. La méthode _get_attachments() relit ensuite les mêmes clés survivantes et transmet le chemin du fichier résolu à move_temp_file_to_upload_dir(), qui appelle rename() pour déplacer le fichier dans le dossier de téléchargement. Cela permet à des attaquants non authentifiés de déplacer des fichiers arbitraires sur le serveur, ce qui peut facilement conduire à l'exécution de code à distance lorsque le bon fichier est déplacé (comme wp-config.php). La vulnérabilité n'est exploitable que si un champ de téléchargement de fichier est ajouté au formulaire et que l'option « Enregistrement des données de demande dans la base de données » est activée.
Solution : Mise à jour vers la version 5.1.2 ou une version corrigée plus récente
Aller sur le site MW WP Form
Publié le mercredi 08 avril 2026
Product Feed PRO pour WooCommerce par AdTribes – Product Feeds pour WooCommerce 13.4.6 - 13.5.2.1 - Contrefaçon de demande intersite vers plusieurs actions administratives
Le plugin Product Feed PRO for WooCommerce par AdTribes – Product Feeds for WooCommerce pour WordPress est vulnérable à Cross-Site Request Forgery dans les versions 13.4.6 à 13.5.2.1. Cela est dû à une validation occasionnelle manquante ou incorrecte sur les fonctions ajax_migrate_to_custom_post_type, ajax_adt_clear_custom_attributes_product_meta_keys, ajax_update_file_url_to_lower_case, ajax_use_legacy_filters_and_rules et ajax_fix_duplicate_feed. Cela permet aux attaquants non authentifiés de déclencher la migration du flux, d'effacer les caches transitoires d'attributs personnalisés, de réécrire les URL des fichiers de flux en minuscules, de basculer les anciens paramètres de filtre et de règle et de supprimer les publications de flux en double via une fausse demande, à condition qu'ils puissent tromper un administrateur de site en lui faisant effectuer une action telle que cliquer sur un lien.
Solution : Mise à jour vers la version 13.5.2.2 ou une version corrigée plus récente
Aller sur le site Product Feed PRO for WooCommerce by AdTribes – Product Feeds for WooCommerce
Publié le mardi 07 avril 2026
Everest Forms <= 3.4.3 - Injection d'objet PHP non authentifié via les métadonnées d'entrée de formulaire
Le plugin Everest Forms pour WordPress est vulnérable à l'injection d'objets PHP dans toutes les versions jusqu'à la version 3.4.3 incluse via la désérialisation des entrées non fiables provenant des métadonnées d'entrée de formulaire. Cela est dû au fichier html-admin-page-entries-view.php appelant la fonction unserialize() native de PHP sur les méta-valeurs d'entrée stockées sans transmettre le paramètre Allow_classes. Cela permet à des attaquants non authentifiés d'injecter une charge utile d'objet PHP sérialisé via n'importe quel champ de formulaire public Everest Forms. La charge utile survit à la désinfection sanitize_text_field() (les caractères de contrôle de sérialisation ne sont pas supprimés) et est stockée dans la table de base de données wp_evf_entrymeta. Lorsqu'un administrateur affiche des entrées ou affiche une entrée individuelle, l'appel non sécurisé unserialize() traite les données stockées sans restrictions de classe.
Solution : Mise à jour vers la version 3.4.4 ou une version corrigée plus récente
Aller sur le site Everest Forms – Contact Form, Payment Form, Quiz, Survey & Custom Form Builder
Publié le mardi 07 avril 2026
Amelia <= 2.1.3 - Référence d'objet direct non sécurisé à l'escalade de privilèges authentifiés (employé+) via le paramètre 'externalId'
Le plug-in de réservation de rendez-vous et d'événements – Amelia pour WordPress est vulnérable aux références d'objet directes non sécurisées dans toutes les versions jusqu'à la version 2.1.3 incluse. Cela est dû au fait que « UpdateProviderCommandHandler » ne parvient pas à valider les modifications apportées au champ « externalId » lorsqu'un utilisateur fournisseur (employé) met à jour son propre profil. Le `externalId` correspond directement à un identifiant d'utilisateur WordPress et est transmis à `wp_set_password()` et `wp_update_user()` sans vérification d'autorisation. Cela permet aux attaquants authentifiés, avec un accès au niveau du fournisseur (employé) et supérieur, de prendre le contrôle de n'importe quel compte WordPress – y compris l'administrateur – en injectant une valeur « externalId » arbitraire lors de la mise à jour de leur propre profil de fournisseur.
Solution : Mise à jour vers la version 2.2 ou une version corrigée plus récente
Aller sur le site Booking for Appointments and Events Calendar – Amelia
Publié le lundi 06 avril 2026
Forum wpForo <= 2.4.16 - Suppression arbitraire de fichiers authentifiés (abonnés +) via le corps du message
Le plugin wpForo Forum pour WordPress est vulnérable à la suppression arbitraire de fichiers dans toutes les versions jusqu'à la 2.4.16 incluse. Cela est dû à une validation manquante du nom de fichier/du chemin par rapport aux séquences de parcours de chemin. Cela permet aux attaquants authentifiés, disposant d'un accès au niveau de l'abonné et au-dessus, de supprimer des fichiers arbitraires sur le serveur en intégrant une chaîne de parcours de chemin contrefaite dans le corps d'un message de forum, puis en supprimant le message.
Solution : Mise à jour vers la version 2.4.17 ou une version corrigée plus récente
Aller sur le site wpForo Forum
Publié le vendredi 03 avril 2026
WCFM - WooCommerce Frontend Manager <= 6.7.25 - Références d'objets directs non sécurisés à une manipulation arbitraire de post/produit autentifiée (fournisseur +)
Le WCFM – Frontend Manager pour WooCommerce ainsi que le plugin Bookings Subscription Listings Compatible pour WordPress sont vulnérables à la référence d'objet directe non sécurisée dans toutes les versions jusqu'à la 6.7.25 incluse via plusieurs actions AJAX, notamment `wcfm_modify_order_status`, `delete_wcfm_article`, `delete_wcfm_product` et le contrôleur de gestion d'articles en raison d'une validation manquante sur les ID d'objet fournis par l'utilisateur. Cela permet aux attaquants authentifiés, avec un accès au niveau du fournisseur et supérieur, de modifier le statut de n'importe quelle commande, de supprimer ou de modifier n'importe quelle publication/produit/page, quel qu'en soit le propriétaire.
Solution : Mise à jour vers la version 6.7.26 ou une version corrigée plus récente
Aller sur le site WCFM – Frontend Manager for WooCommerce
Publié le vendredi 03 avril 2026
Formulaire MW WP <= 5.1.0 - Déplacement de fichier arbitraire non authentifié via move_temp_file_to_upload_dir
Le plugin MW WP Form pour WordPress est vulnérable au déplacement arbitraire de fichiers en raison d'une validation insuffisante du chemin de fichier via la fonction 'generate_user_filepath' et la fonction 'move_temp_file_to_upload_dir' dans toutes les versions jusqu'à et y compris la 5.1.0. Cela permet à des attaquants non authentifiés de déplacer des fichiers arbitraires sur le serveur, ce qui peut facilement conduire à l'exécution de code à distance lorsque le bon fichier est déplacé (comme wp-config.php). La vulnérabilité n'est exploitable que si un champ de téléchargement de fichier est ajouté au formulaire et que l'option « Enregistrement des données de demande dans la base de données » est activée.
Solution : Mise à jour vers la version 5.1.1 ou une version corrigée plus récente
Aller sur le site MW WP Form
Publié le mercredi 01 avril 2026
Responsive Plus – Modèles Elementor et sites de démarrage < 3.4.3 – Exécution de code arbitraire non authentifié
Le plugin Responsive Plus – Elementor Templates & Starter Sites pour WordPress est vulnérable à l’exécution de code à distance dans toutes les versions jusqu’à 3.4.3 (exclusive). Cela permet à des attaquants non authentifiés d'exécuter du code sur le serveur.
Solution : Mise à jour vers la version 3.4.3 ou une version corrigée plus récente
Aller sur le site Responsive Plus – Elementor Templates & Starter Sites
Publié le lundi 30 mars 2026
Membre ultime <= 2.11.2 - Exposition d'informations sensibles authentifiées (Contributeur+) au piratage de compte via une balise de modèle de code court
Le plugin Ultimate Member pour WordPress est vulnérable à l’exposition d’informations sensibles dans toutes les versions jusqu’à la 2.11.2 incluse. Cela est dû au fait que la balise de modèle « {usermeta:password_reset_link} » est traitée dans le contenu de la publication via le shortcode « [um_loggedin] », qui génère un jeton de réinitialisation de mot de passe valide pour l'utilisateur actuellement connecté qui consulte la page. Cela permet aux attaquants authentifiés, disposant d'un accès de niveau Contributeur ou supérieur, de créer une publication malveillante en attente qui, lorsqu'elle est prévisualisée par un administrateur, génère un jeton de réinitialisation de mot de passe pour l'administrateur et l'exfiltre vers un serveur contrôlé par l'attaquant, conduisant à une prise de contrôle complète du compte.
Solution : Mise à jour vers la version 2.11.3 ou une version corrigée plus récente
Aller sur le site Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin
Publié le vendredi 27 mars 2026
Amelia Booking <= 9.1.2 - Référence d'objet direct non sécurisé authentifié (client +) à un changement arbitraire de mot de passe d'utilisateur
Le plugin Amelia Booking pour WordPress est vulnérable aux références d’objets directs non sécurisés dans les versions jusqu’à 9.1.2 incluses. Cela est dû au fait que le plugin fournit un accès contrôlé par l'utilisateur aux objets, permettant à un utilisateur de contourner l'autorisation et d'accéder aux ressources du système. Cela permet aux attaquants authentifiés disposant d’autorisations au niveau client ou supérieures de modifier les mots de passe des utilisateurs et potentiellement de prendre le contrôle des comptes d’administrateur. La vulnérabilité réside dans le plugin pro, qui possède le même slug.
Solution : Mise à jour vers la version 9.2 ou une version corrigée plus récente
Aller sur le site Booking for Appointments and Events Calendar – Amelia
Publié le mercredi 25 mars 2026
WP DSGVO Tools (GDPR) <= 3.1.38 - Autorisation manquante pour la destruction de comptes non authentifiés d'utilisateurs non administrateurs
Le plugin WP DSGVO Tools (GDPR) pour WordPress est vulnérable à la destruction de compte non autorisée dans toutes les versions jusqu'à la 3.1.38 incluse. Cela est dû au fait que l'action AJAX « super-unsubscribe » accepte un paramètre « process_now » d'utilisateurs non authentifiés, qui contourne le flux de confirmation par e-mail prévu et déclenche immédiatement une anonymisation irréversible du compte. Cela permet aux attaquants non authentifiés de détruire définitivement tout compte utilisateur non administrateur (mot de passe randomisé, nom d'utilisateur/e-mail écrasé, rôles supprimés, commentaires anonymisés, méta utilisateur sensible effacé) en soumettant l'adresse e-mail de la victime avec `process_now=1`. Le nom occasionnel requis pour la demande est accessible au public sur n'importe quelle page contenant le shortcode `[unsubscribe_form]`.
Solution : Mise à jour vers la version 3.1.39 ou une version corrigée plus récente
Aller sur le site WP DSGVO Tools (GDPR)
Publié le lundi 23 mars 2026
JetFormBuilder — Générateur de formulaires de blocs dynamiques <= 3.5.6.1 - Exécution de code à distance authentifié (Contributeur+)
Le plugin JetFormBuilder — Dynamic Blocks Form Builder pour WordPress est vulnérable à l'exécution de code à distance dans toutes les versions jusqu'à la 3.5.6.1 incluse. Cela permet aux attaquants authentifiés, disposant d’un accès de niveau Contributeur et supérieur, d’exécuter du code sur le serveur.
Solution : Mise à jour vers la version 3.5.6.2 ou une version corrigée plus récente
Aller sur le site JetFormBuilder — Dynamic Blocks Form Builder
Publié le lundi 23 mars 2026
Blocs de galerie de médias mixtes <= 3.3.2 - Exécution de code à distance authentifié (Contributeur+)
Le plugin Mixed Media Gallery Blocks pour WordPress est vulnérable à l’exécution de code à distance dans toutes les versions jusqu’à la 3.3.2 incluse. Cela permet aux attaquants authentifiés, disposant d’un accès de niveau Contributeur et supérieur, d’exécuter du code sur le serveur.
Solution : Mise à jour vers la version 3.3.2.1 ou une version corrigée plus récente
Aller sur le site Mixed Media Gallery Blocks
Publié le lundi 23 mars 2026
Inscription et adhésion des utilisateurs – Abonnements gratuits et payants, abonnements, restriction de contenu, profil utilisateur, inscription d'utilisateur personnalisée et générateur de connexion <= 4.4.9 – Exécution de code à distance non authentifié
Le plugin Enregistrement et adhésion des utilisateurs – Adhésions gratuites et payantes, abonnements, restriction de contenu, profil utilisateur, enregistrement d’utilisateur personnalisé et générateur de connexion pour WordPress est vulnérable à l’exécution de code à distance dans toutes les versions jusqu’à la version 4.4.9 incluse. Cela permet à des attaquants non authentifiés d'exécuter du code sur le serveur.
Solution : Mise à jour vers la version 5.1.3 ou une version corrigée plus récente
Aller sur le site User Registration & Membership – Free & Paid Memberships, Subscriptions, Content Restriction, User Profile, Custom User Registration & Login Builder
Publié le lundi 23 mars 2026
Extraits de code Woody – Insérer des scripts PHP, CSS, JS et d'en-tête/pied de page <= 2.7.1 – Exécution de code à distance authentifié (Contributeur+)
Le plugin Woody Code Snippets – Insert PHP, CSS, JS et Header/Footer Scripts pour WordPress est vulnérable à l’exécution de code à distance dans toutes les versions jusqu’à la 2.7.1 incluse. Cela permet aux attaquants authentifiés, disposant d’un accès de niveau Contributeur et supérieur, d’exécuter du code sur le serveur.
Solution : Mise à jour vers la version 2.7.2 ou une version corrigée plus récente
Aller sur le site Woody Code Snippets – Insert PHP, CSS, JS, and Header/Footer Scripts
Publié le lundi 23 mars 2026
Importer et exporter des utilisateurs et des clients <= 1.29.7 - Escalade de privilèges vers l'administrateur via save_extra_user_profile_fields
Le plugin d’importation et d’exportation d’utilisateurs et de clients pour WordPress est vulnérable à l’élévation de privilèges dans toutes les versions jusqu’à la 1.29.7 incluse. Cela est dû au fait que la fonction « save_extra_user_profile_fields » ne restreint pas correctement les méta-clés utilisateur qui peuvent être mises à jour via les champs de profil. La méthode « get_restricted_fields » n'inclut pas les méta-clés sensibles telles que « wp_capabilities ». Cela permet aux attaquants non authentifiés d'élever leurs privilèges à l'administrateur en soumettant une demande d'enregistrement contrefaite qui définit la clé méta « wp_capabilities ». La vulnérabilité ne peut être exploitée que si le paramètre « Afficher les champs dans le profil » est activé et qu'un CSV avec un en-tête de colonne wp_capabilities a été préalablement importé.
Solution : Mise à jour vers la version 2.0 ou une version corrigée plus récente
Aller sur le site Import and export users and customers
Publié le samedi 21 mars 2026
Kali Forms <= 2.4.9 - Exécution de code à distance non authentifié via form_process
Le plugin Kali Forms pour WordPress est vulnérable à l'exécution de code à distance dans toutes les versions jusqu'à la 2.4.9 incluse via la fonction « form_process ». Cela est dû au fait que la fonction « prepare_post_data » mappe les clés fournies par l'utilisateur directement dans le stockage d'espace réservé interne, combinée à l'utilisation de « call_user_func » sur ces valeurs d'espace réservé. Cela permet à des attaquants non authentifiés d'exécuter du code sur le serveur.
Solution : Mise à jour vers la version 2.4.10 ou une version corrigée plus récente
Aller sur le site Kali Forms — Contact Form & Drag-and-Drop Builder
Publié le vendredi 20 mars 2026
Galerie de photos, curseurs, vérification et thèmes – Galerie NextGEN <= 4.0.4 – Inclusion de fichiers locaux authentifiés (Auteur+)
La galerie de photos, les curseurs, la vérification et les thèmes – Le plugin NextGEN Gallery pour WordPress est vulnérable à l'inclusion de fichiers locaux dans toutes les versions jusqu'à la version 4.0.3 incluse via le paramètre « modèle » dans les codes courts de la galerie. Cela permet aux attaquants authentifiés, avec un accès de niveau auteur ou supérieur, d'inclure et d'exécuter des fichiers .php arbitraires sur le serveur, permettant ainsi l'exécution de n'importe quel code PHP dans ces fichiers. Cela peut être utilisé pour contourner les contrôles d'accès, obtenir des données sensibles ou réaliser l'exécution de code dans les cas où les types de fichiers .php peuvent être téléchargés et inclus.
Solution : Mise à jour vers la version 4.0.5 ou une version corrigée plus récente
Aller sur le site Photo Gallery, Sliders, Proofing and Themes – NextGEN Gallery
Publié le mardi 17 mars 2026
RegistrationMagic – Formulaires d'inscription personnalisés, inscription de l'utilisateur, paiement et connexion de l'utilisateur <= 6.0.7.1 - Contournement de l'authentification
Le plugin RegistrationMagic – Formulaires d’inscription personnalisés, inscription d’utilisateur, paiement et connexion utilisateur pour WordPress est vulnérable au contournement d’authentification dans toutes les versions jusqu’à et y compris la 6.0.7.1. Cela permet à des attaquants non authentifiés de contourner l'authentification.
Solution : Mise à jour vers la version 6.0.7.2 ou une version corrigée plus récente
Aller sur le site RegistrationMagic – User Registration Forms Plugin
Publié le jeudi 12 mars 2026
ExactMetrics 7.1.0 - 9.0.2 - Gestion incorrecte des privilèges authentifiés (personnalisés) vers l'escalade des privilèges de rôle via la mise à jour des paramètres
Le plugin ExactMetrics – Google Analytics Dashboard pour WordPress est vulnérable à une gestion inappropriée des privilèges dans les versions 7.1.0 à 9.0.2. Cela est dû au fait que la fonction `update_settings()` accepte des noms de paramètres de plugin arbitraires sans liste blanche des paramètres autorisés. Cela permet aux attaquants authentifiés disposant de la capacité « exactmetrics_save_settings » de modifier n'importe quel paramètre du plugin, y compris l'option « save_settings » qui contrôle quels rôles d'utilisateur ont accès aux fonctionnalités du plugin. L'administrateur avait l'intention de déléguer l'accès à la configuration à un utilisateur de confiance, et non de permettre à cet utilisateur de déléguer l'accès à tout le monde. En définissant « save_settings » pour inclure « abonné », un attaquant peut accorder un accès administratif au plugin à tous les abonnés du site.
Solution : Mise à jour vers la version 9.0.3 ou une version corrigée plus récente
Aller sur le site ExactMetrics – Google Analytics Dashboard for WordPress (Website Stats Plugin)
Publié le mardi 10 mars 2026
ExactMetrics 8.6.0 - 9.0.2 - Référence d'objet direct non sécurisé authentifié (personnalisé) à l'installation arbitraire d'un plug-in
Le plug-in ExactMetrics – Google Analytics Dashboard pour WordPress est vulnérable à la référence d'objet directe non sécurisée dans les versions 8.6.0 à 9.0.2. Cela est dû au fait que la méthode `store_settings()` dans la classe `ExactMetrics_Onboarding` accepte un paramètre `triggered_by` fourni par l'utilisateur qui est utilisé à la place de l'ID de l'utilisateur actuel pour vérifier les autorisations. Cela permet aux attaquants authentifiés dotés de la capacité « exactmetrics_save_settings » de contourner la vérification de la capacité « install_plugins » en spécifiant l'ID utilisateur d'un administrateur dans le paramètre « triggered_by », leur permettant d'installer des plugins arbitraires et de réaliser l'exécution de code à distance. Cette vulnérabilité n'affecte que les sites sur lesquels l'administrateur a donné à d'autres types d'utilisateurs l'autorisation d'afficher les rapports et ne peut être exploitée que par des utilisateurs de ce type.
Solution : Mise à jour vers la version 9.0.3 ou une version corrigée plus récente
Aller sur le site ExactMetrics – Google Analytics Dashboard for WordPress (Website Stats Plugin)
Publié le mardi 10 mars 2026
Royal Addons for Elementor <= 1.7.1049 - Téléchargement de fichiers arbitraires authentifiés (Auteur +) via main.php Bypass de téléchargement
Le plugin Royal Addons for Elementor pour WordPress est vulnérable au téléchargement de fichiers arbitraires dans toutes les versions jusqu'à la 1.7.1049 incluse. Cela est dû à une validation insuffisante du type de fichier détectant les fichiers nommés main.php, permettant à un fichier portant un tel nom de contourner la désinfection. Cela permet aux attaquants authentifiés, disposant d'un accès au niveau de l'auteur ou supérieur, de télécharger des fichiers arbitraires sur le serveur du site concerné, ce qui peut rendre possible l'exécution de code à distance.
Solution : Mise à jour vers la version 1.7.1050 ou une version corrigée plus récente
Aller sur le site Royal Addons for Elementor – Addons and Templates Kit for Elementor
Publié le mardi 10 mars 2026
ProfilePress <= 4.16.11 - Référence d'objet direct non sécurisé à l'annulation/expiration arbitraire d'un abonnement authentifié (Abonné+)
Le plugin ProfilePress pour WordPress est vulnérable à Insecure Direct Object Reference dans toutes les versions jusqu'à la 4.16.11 incluse. Cela est dû à l'absence de validation de propriété sur le paramètre change_plan_sub_id dans la fonction process_checkout(). Le gestionnaire AJAX ppress_process_checkout accepte un ID d'abonnement contrôlé par l'utilisateur destiné aux mises à niveau du plan, charge l'enregistrement d'abonnement et l'annule/expire sans vérifier que l'abonnement appartient à l'utilisateur demandeur. Cela permet aux attaquants authentifiés, disposant d'un accès au niveau de l'abonné ou supérieur, d'annuler et d'expirer l'abonnement actif de tout autre utilisateur via le paramètre change_plan_sub_id lors du paiement, entraînant une perte immédiate de l'accès payant pour les victimes.
Solution : Mise à jour vers la version 4.16.12 ou une version corrigée plus récente
Aller sur le site Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress
Publié le mardi 10 mars 2026
Glisser-déposer plusieurs fichiers téléchargés pour le formulaire de contact 7 <= 1.3.9.5 - Téléchargement de fichiers arbitraires non authentifiés
Le plugin Glisser-déposer de téléchargement multiple de fichiers - Formulaire de contact 7 pour WordPress est vulnérable aux téléchargements de fichiers arbitraires en raison d'une validation insuffisante du type de fichier dans la fonction « dnd_upload_cf7_upload » dans les versions jusqu'à 1.3.7.3 incluse. Cela permet à des attaquants non authentifiés de télécharger des fichiers arbitraires sur le serveur du site concerné, ce qui peut rendre possible l'exécution de code à distance. Cela peut être exploité si le formulaire inclut un champ de téléchargement de plusieurs fichiers avec « * » comme type de fichier accepté.
Solution : Mise à jour vers la version 1.3.9.6 ou une version corrigée plus récente
Aller sur le site Drag and Drop Multiple File Upload for Contact Form 7
Publié le jeudi 05 mars 2026
Réservation du calendrier des rendez-vous et des événements – Amelia <= 1.2.38 – Augmentation de privilèges authentifiée (employé+)
Le plug-in de réservation de rendez-vous et d'événements – Amelia pour WordPress est vulnérable à l'escalade de privilèges dans toutes les versions jusqu'à la 1.2.38 incluse. Cela permet aux attaquants authentifiés, disposant d’un accès au niveau employé et supérieur, d’élever leurs privilèges au niveau de ceux d’un administrateur.
Solution : Mise à jour vers la version 2.0 ou une version corrigée plus récente
Aller sur le site Booking for Appointments and Events Calendar – Amelia
Publié le mercredi 04 mars 2026
wpDataTables (Premium) <= 6.5.0.1 - Inclusion de fichiers locaux non authentifiés
Le plugin wpDataTables (Premium) pour WordPress est vulnérable à l'inclusion de fichiers locaux dans les versions jusqu'à 6.5.0.1 incluse. Cela permet à des attaquants non authentifiés d'inclure et d'exécuter des fichiers arbitraires sur le serveur, permettant ainsi l'exécution de n'importe quel code PHP dans ces fichiers. Cela peut être utilisé pour contourner les contrôles d'accès, obtenir des données sensibles ou réaliser l'exécution de code dans les cas où des images et d'autres types de fichiers « sûrs » peuvent être téléchargés et inclus.
Solution : Aucun correctif connu disponible. Veuillez examiner les détails de la vulnérabilité en profondeur et utiliser des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel concerné et de trouver un remplaçant.
Aller sur le site wpDataTables – WordPress Data Table, Dynamic Tables & Table Charts Plugin
Publié le mardi 03 mars 2026
Inscription et adhésion des utilisateurs <= 5.1.2 - Augmentation de privilèges non authentifiée via l'inscription d'une adhésion
Le plug-in d'inscription et d'adhésion des utilisateurs – Générateur de formulaire d'inscription personnalisé, formulaire de connexion personnalisé, profil utilisateur, restriction de contenu et plug-in d'adhésion pour WordPress est vulnérable à une gestion inappropriée des privilèges dans toutes les versions jusqu'à la version 5.1.2 incluse. Cela est dû au fait que le plugin accepte un rôle fourni par l'utilisateur lors de l'enregistrement de l'adhésion sans appliquer correctement une liste d'autorisation côté serveur. Cela permet à des attaquants non authentifiés de créer des comptes d'administrateur en fournissant une valeur de rôle lors de l'enregistrement de l'adhésion.
Solution : Mise à jour vers la version 5.1.3 ou une version corrigée plus récente
Aller sur le site User Registration & Membership – Free & Paid Memberships, Subscriptions, Content Restriction, User Profile, Custom User Registration & Login Builder
Publié le lundi 02 mars 2026
Page Builder par SiteOrigin <= 2.33.5 - Inclusion de fichiers locaux authentifiés (Contributeur+)
Le plugin Page Builder de SiteOrigin pour WordPress est vulnérable à l'inclusion de fichiers locaux dans toutes les versions jusqu'à la version 2.33.5 incluse via la fonction Locate_template(). Cela permet aux attaquants authentifiés, avec un accès de niveau Contributeur et supérieur, d'inclure et d'exécuter des fichiers arbitraires sur le serveur, permettant l'exécution de n'importe quel code PHP dans ces fichiers. Cela peut être utilisé pour contourner les contrôles d'accès, obtenir des données sensibles ou réaliser l'exécution de code dans les cas où des images et d'autres types de fichiers « sûrs » peuvent être téléchargés et inclus.
Solution : Mise à jour vers la version 2.34.0 ou une version corrigée plus récente
Aller sur le site Page Builder by SiteOrigin
Publié le lundi 02 mars 2026
Options de widget – Visibilité conditionnelle avancée pour les blocs Gutenberg et les widgets classiques <= 4.1.3 – Exécution de code à distance authentifié (Contributeur+)
Le plugin Options de widget – Visibilité conditionnelle avancée pour les blocs Gutenberg et les widgets classiques pour WordPress est vulnérable à l’exécution de code à distance dans toutes les versions jusqu’à et y compris la 4.1.3. Cela permet aux attaquants authentifiés, disposant d’un accès de niveau Contributeur et supérieur, d’exécuter du code sur le serveur.
Solution : Mise à jour vers la version 4.2.0 ou une version corrigée plus récente
Aller sur le site Widget Options – Advanced Conditional Visibility for Gutenberg Blocks & Classic Widgets
Publié le lundi 02 mars 2026
Frontend utilisateur : publication frontale alimentée par l'IA, répertoire des utilisateurs, profil, adhésion et enregistrement des utilisateurs <= 4.2.8 - Téléchargement de fichiers arbitraires authentifiés (auteur +)
Le plug-in User Frontend : AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration pour WordPress est vulnérable aux téléchargements de fichiers arbitraires en raison d'une validation incorrecte du type de fichier dans la fonction 'WPUF_Admin_Settings::check_filetype_and_ext' et dans la fonction 'Admin_Tools::check_filetype_and_ext' dans toutes les versions jusqu'à 4.2.8 incluse. Cela permet aux attaquants authentifiés, disposant d'un accès de niveau auteur ou supérieur, de télécharger des fichiers arbitraires sur le serveur du site concerné, ce qui peut rendre possible l'exécution de code à distance.
Solution : Mise à jour vers la version 4.2.9 ou une version corrigée plus récente
Aller sur le site User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration
Publié le jeudi 26 février 2026
Inscription et adhésion des utilisateurs <= 5.1.2 - Contournement de l'authentification
Le plugin User Registration & Membership pour WordPress est vulnérable au contournement d’authentification dans les versions jusqu’à 5.1.2 incluses. Cela est dû à une authentification incorrecte dans la fonction 'register_member'. Cela permet à des attaquants non authentifiés de connecter un utilisateur nouvellement enregistré sur le site qui possède le méta-ensemble d'utilisateur 'urm_user_just_created'.
Solution : Mise à jour vers la version 5.1.3 ou une version corrigée plus récente
Aller sur le site User Registration & Membership – Free & Paid Memberships, Subscriptions, Content Restriction, User Profile, Custom User Registration & Login Builder
Publié le mercredi 25 février 2026
W3 Total Cache <= 2.9.1 - Exécution de code arbitraire non authentifié
Le plugin W3 Total Cache pour WordPress est vulnérable à l'exécution de code à distance dans toutes les versions jusqu'à la 2.9.1 incluse. Cela permet à des attaquants non authentifiés d'exécuter du code sur le serveur.
Solution : Aucun correctif connu disponible. Veuillez examiner les détails de la vulnérabilité en profondeur et utiliser des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel concerné et de trouver un remplaçant.
Aller sur le site W3 Total Cache
Publié le mardi 24 février 2026
Comment un site wordpress peut être piraté ?
Pour pirater wordpress, le pirate peut :
- Se servir d’une faille de sécurité wordpress;
- Utiliser une faille de sécurité dans un plugin;
- Utiliser une faille dans le thème wordpress.
La faille vient souvent d’un formulaire même si votre site n’en affiche pas.
C’est pourquoi il est important que wordpress, les plugins et le thème doivent toujours être à jour.
Comment désinfecter un site wordpress piraté ?
- Mettez votre site WordPress en mode maintenance
- Changer tous vos mots de passe
- Nettoyer la base de données
- Télécharger la dernière version de wordpress pour remplacer tous les fichiers sources
- Télécharger les dernières versions de plugins
- Nettoyer votre thème
Si vous avez une sauvegarde vous pouvez la restaurer et ensuite mettre à jour wordpress, les plugins et le thème.
Comment accéder à mon site wordpress qui a ete piraté ?
Pour accéder à votre site wordpress piraté il faut :
- Nettoyer la base de données;
- Nettoyer les fichiers;
- Mettre à jours le core, les plugins et le thème;
- Sécuriser wordpress.
Lorsque vous avez tout nettoyé et qu’il n’y a pas d’erreur vous pourrez ensuite accéder à votre site.
Comment savoir si mon site wordpress à été piraté ?
Votre site wordpress peut avoir été piraté si :
- Du contenu a été modifié;
- Des pages ont été créés;
- Du texte et des caractères étranges s’affichent;
- Il y a des rédirections vers des sites frauduleux;
- Votre site est plus lent.
Si vous pensez que votre site a été piraté il ne faut pas trop attendre car plus vous attendrez plus la réparation sera difficile.
Est-ce que je peux réparer mon site wordpress par moi meme ?
Vous pouvez réparer votre site web wordpress par vous-même. De bonne pratique de développement et quelques règles de base de sécurisation pourront réduire les risques de piratage.
Si vous avez besoin d’une assistance pour la maintenance de votre site wp contactez-nous, des experts sont là pour vous répondre.