Solutions expertes pour protéger, réparer et maintenir votre site WordPress
Besoin d’une maintenance régulière ? D’une assistance technique sur mesure ? d’une réparation rapide ou d’un nettoyage après un piratage ? Nous sommes là pour vous.
Nos experts interviennent rapidement pour garantir la sécurité, la performance et la fiabilité de votre site.
SÉCURISATION
NETTOYAGE
AUDIT
Nos services pour les sites WordPress
Assistance technique WordPress – Un support réactif et efficace
Vous rencontrez des problèmes techniques sur votre site WordPress ? Qu’il s’agisse d’un bug, d’une erreur d’affichage, d’un conflit entre plugins ou d’une difficulté à configurer votre site, notre équipe d’experts WordPress est là pour vous aider.
Nettoyage et sécurisation de Site WordPress piraté
Votre site WordPress a été compromis par un piratage ? Une intrusion malveillante peut entraîner une perte de référencement, un vol de données ou un avertissement Google, impactant gravement votre activité. Nous intervenons sous 48h pour nettoyer, restaurer et sécuriser votre site.
Maintenance WordPress – Préventive, corrective et évolutive
Un site WordPress performant nécessite une maintenance régulière pour éviter les bugs, renforcer la sécurité et améliorer le référencement. Notre service de maintenance WordPress garantit la stabilité, la rapidité et l’évolution continue de votre site.
Réparation WordPress – Intervention rapide sur site en panne
Votre site WordPress ne fonctionne plus correctement ? Une erreur 500, un conflit de plugin ou une mise à jour défectueuse peuvent rendre votre site inaccessible. Nous intervenons rapidement pour résoudre tous vos problèmes techniques et remettre votre site en état de marche.
Pourquoi nous choisir ?
Expérience
Parce que pour un bon accompagnement WordPress, il faut bien le connaitre.
Nous sommes une équipe d’expert wordpress avec plusieurs années d’expérience, nous maîtrisons tous les aspects techniques.
Réponse rapide
Parce qu’une panne, un dysfonctionnement survient souvent au moment qu’il ne faut pas.
Une question ne peux pas attendre plusieurs jours, nos experts agissent en moins de 24 heures pour les services urgents.
Solutions complètes
Parce que réparer WordPress ne suffit pas, il faut aussi bien protéger.
De la prévention à la résolution des problèmes, nous vous accompagnons à chaque étape.
Situé en France
Parce que la proximité est importante pour établir une relation de confiance sur le long terme.
Notre entreprise est localisée en France, nos experts sont tous situés en France en Maine-et-Loire à Angers.
Nos autres services
Hébergement de votre site et sauvegarde de vos données
Serveur régulièrement mis à jour
Données quodiennement sauvegardées et répliquées
Vos sites fréquemment mis à jour
Intervention à la demande pour des modifications
Gestion de votre messagerie et de vos domaines
Configuration de vos domaines
Renouvellement de vos domaines
Renouvellement de vos certificats
Gestion de vos boîtes mails
Déblacklistage en cas de soucis d’envoi
Nos engagements
Fiabilité
Votre site entre de bonnes mains avec des solutions pérennes.
Disponibilité
Un support réactif pour répondre à toutes vos demandes.
Sérénité
Vous concentrez sur votre activité pendant que nous gérons l’aspect technique.
Actualités de la sécurité WordPress
Glisser-déposer plusieurs fichiers téléchargés pour le formulaire de contact 7 <= 1.3.9.5 - Téléchargement de fichiers arbitraires non authentifiés
Le plugin Glisser-déposer de téléchargement multiple de fichiers - Formulaire de contact 7 pour WordPress est vulnérable aux téléchargements de fichiers arbitraires en raison d'une validation insuffisante du type de fichier dans la fonction « dnd_upload_cf7_upload » dans les versions jusqu'à 1.3.7.3 incluse. Cela permet à des attaquants non authentifiés de télécharger des fichiers arbitraires sur le serveur du site concerné, ce qui peut rendre possible l'exécution de code à distance. Cela peut être exploité si le formulaire inclut un champ de téléchargement de plusieurs fichiers avec « * » comme type de fichier accepté.
Solution : Mise à jour vers la version 1.3.9.6 ou une version corrigée plus récente
Aller sur le site Drag and Drop Multiple File Upload for Contact Form 7
Publié le jeudi 05 mars 2026
wpDataTables (Premium) <= 6.5.0.1 - Inclusion de fichiers locaux non authentifiés
Le plugin wpDataTables (Premium) pour WordPress est vulnérable à l'inclusion de fichiers locaux dans les versions jusqu'à 6.5.0.1 incluse. Cela permet à des attaquants non authentifiés d'inclure et d'exécuter des fichiers arbitraires sur le serveur, permettant ainsi l'exécution de n'importe quel code PHP dans ces fichiers. Cela peut être utilisé pour contourner les contrôles d'accès, obtenir des données sensibles ou réaliser l'exécution de code dans les cas où des images et d'autres types de fichiers « sûrs » peuvent être téléchargés et inclus.
Solution : Aucun correctif connu disponible. Veuillez examiner les détails de la vulnérabilité en profondeur et utiliser des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel concerné et de trouver un remplaçant.
Aller sur le site wpDataTables – WordPress Data Table, Dynamic Tables & Table Charts Plugin
Publié le mardi 03 mars 2026
Inscription et adhésion des utilisateurs <= 5.1.2 - Augmentation de privilèges non authentifiée via l'inscription d'une adhésion
Le plug-in d'inscription et d'adhésion des utilisateurs – Générateur de formulaire d'inscription personnalisé, formulaire de connexion personnalisé, profil utilisateur, restriction de contenu et plug-in d'adhésion pour WordPress est vulnérable à une gestion inappropriée des privilèges dans toutes les versions jusqu'à la version 5.1.2 incluse. Cela est dû au fait que le plugin accepte un rôle fourni par l'utilisateur lors de l'enregistrement de l'adhésion sans appliquer correctement une liste d'autorisation côté serveur. Cela permet à des attaquants non authentifiés de créer des comptes d'administrateur en fournissant une valeur de rôle lors de l'enregistrement de l'adhésion.
Solution : Mise à jour vers la version 5.1.3 ou une version corrigée plus récente
Aller sur le site User Registration & Membership – Free & Paid Memberships, Subscriptions, Content Restriction, User Profile, Custom User Registration & Login Builder
Publié le lundi 02 mars 2026
Page Builder par SiteOrigin <= 2.33.5 - Inclusion de fichiers locaux authentifiés (Contributeur+)
Le plugin Page Builder de SiteOrigin pour WordPress est vulnérable à l'inclusion de fichiers locaux dans toutes les versions jusqu'à la version 2.33.5 incluse via la fonction Locate_template(). Cela permet aux attaquants authentifiés, avec un accès de niveau Contributeur et supérieur, d'inclure et d'exécuter des fichiers arbitraires sur le serveur, permettant l'exécution de n'importe quel code PHP dans ces fichiers. Cela peut être utilisé pour contourner les contrôles d'accès, obtenir des données sensibles ou réaliser l'exécution de code dans les cas où des images et d'autres types de fichiers « sûrs » peuvent être téléchargés et inclus.
Solution : Mise à jour vers la version 2.34.0 ou une version corrigée plus récente
Aller sur le site Page Builder by SiteOrigin
Publié le lundi 02 mars 2026
Frontend utilisateur : publication frontale alimentée par l'IA, répertoire des utilisateurs, profil, adhésion et enregistrement des utilisateurs <= 4.2.8 - Téléchargement de fichiers arbitraires authentifiés (auteur +)
Le plug-in User Frontend : AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration pour WordPress est vulnérable aux téléchargements de fichiers arbitraires en raison d'une validation incorrecte du type de fichier dans la fonction 'WPUF_Admin_Settings::check_filetype_and_ext' et dans la fonction 'Admin_Tools::check_filetype_and_ext' dans toutes les versions jusqu'à 4.2.8 incluse. Cela permet aux attaquants authentifiés, disposant d'un accès de niveau auteur ou supérieur, de télécharger des fichiers arbitraires sur le serveur du site concerné, ce qui peut rendre possible l'exécution de code à distance.
Solution : Mise à jour vers la version 4.2.9 ou une version corrigée plus récente
Aller sur le site User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration
Publié le jeudi 26 février 2026
Inscription et adhésion des utilisateurs <= 5.1.2 - Contournement de l'authentification
Le plugin User Registration & Membership pour WordPress est vulnérable au contournement d’authentification dans les versions jusqu’à 5.1.2 incluses. Cela est dû à une authentification incorrecte dans la fonction 'register_member'. Cela permet à des attaquants non authentifiés de connecter un utilisateur nouvellement enregistré sur le site qui possède le méta-ensemble d'utilisateur 'urm_user_just_created'.
Solution : Mise à jour vers la version 5.1.3 ou une version corrigée plus récente
Aller sur le site User Registration & Membership – Free & Paid Memberships, Subscriptions, Content Restriction, User Profile, Custom User Registration & Login Builder
Publié le mercredi 25 février 2026
W3 Total Cache <= 2.9.1 - Exécution de code arbitraire non authentifié
Le plugin W3 Total Cache pour WordPress est vulnérable à l'exécution de code à distance dans toutes les versions jusqu'à la 2.9.1 incluse. Cela permet à des attaquants non authentifiés d'exécuter du code sur le serveur.
Solution : Aucun correctif connu disponible. Veuillez examiner les détails de la vulnérabilité en profondeur et utiliser des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel concerné et de trouver un remplaçant.
Aller sur le site W3 Total Cache
Publié le mardi 24 février 2026
s2Member <= 260127 - Augmentation de privilèges non authentifiée via le rachat de compte
Le plugin s2Member pour WordPress est vulnérable à l'élévation de privilèges via le rachat de compte dans toutes les versions jusqu'à 260127 inclus. Cela est dû au fait que le plugin ne valide pas correctement l'identité d'un utilisateur avant de mettre à jour son mot de passe. Cela permet à des attaquants non authentifiés de modifier les mots de passe arbitraires d'utilisateurs, y compris d'administrateurs, et d'en tirer parti pour accéder à leur compte.
Solution : Mise à jour vers la version 260215 ou une version corrigée plus récente
Aller sur le site s2Member – Excellent for All Kinds of Memberships, Content Restriction Paywalls & Member Access Subscriptions
Publié le mercredi 18 février 2026
YayMail <= 4.3.2 - Autorisation manquante pour la mise à jour des options arbitraires authentifiées (Shop Manager+) via l'action AJAX 'yaymail_import_state'
Le plugin YayMail – WooCommerce Email Customizer pour WordPress est vulnérable à la modification non autorisée des données qui peut conduire à une élévation de privilèges en raison d'une vérification de capacité manquante sur l'action AJAX `yaymail_import_state` dans toutes les versions jusqu'à et y compris 4.3.2. Cela permet aux attaquants authentifiés, avec un accès au niveau Shop Manager et supérieur, de mettre à jour des options arbitraires sur le site WordPress. Cela peut être exploité pour mettre à jour le rôle par défaut d’enregistrement en tant qu’administrateur et permettre aux attaquants d’enregistrer des utilisateurs afin d’obtenir un accès utilisateur administratif à un site vulnérable.
Solution : Mise à jour vers la version 4.3.3 ou une version corrigée plus récente
Aller sur le site YayMail – WooCommerce Email Customizer
Publié le mardi 17 février 2026
ShopLentor <= 3.3.2 - Abus de relais de courrier électronique non authentifié via l'action AJAX 'woolentor_suggest_price_action'
Le plugin ShopLentor – WooCommerce Builder pour Elementor & Gutenberg +21 Modules – All in One Solution pour WordPress est vulnérable aux abus de relais de courrier électronique dans toutes les versions jusqu'à la version 3.3.2 incluse. Cela est dû au manque de validation des paramètres 'send_to', 'product_title', 'wlmessage' et 'wlemail' dans le point de terminaison AJAX 'woolentor_suggest_price_action'. Cela permet à des attaquants non authentifiés d'envoyer des e-mails arbitraires à n'importe quel destinataire avec un contrôle total sur la ligne d'objet, le contenu du message et l'adresse de l'expéditeur (via l'injection CRLF dans le paramètre « wlemail »), transformant ainsi le site Web en un relais de courrier électronique complet pour les campagnes de spam ou de phishing.
Solution : Mise à jour vers la version 3.3.3 ou une version corrigée plus récente
Aller sur le site ShopLentor – All-in-One WooCommerce Growth & Store Enhancement Plugin
Publié le mardi 17 février 2026
Filtres de produits AJAX avancés <= 3.1.9.6 - Injection d'objets PHP authentifiés (Auteur+) via la compatibilité Live Composer
Le plugin Advanced AJAX Product Filters pour WordPress est vulnérable à l'injection d'objets PHP dans toutes les versions jusqu'à 3.1.9.6 incluse via la désérialisation des entrées non fiables dans la fonction shortcode_check au sein de la couche de compatibilité Live Composer. Cela permet aux attaquants authentifiés, avec un accès de niveau auteur et supérieur, d'injecter un objet PHP. Aucune chaîne POP connue n'est présente dans le logiciel vulnérable, ce qui signifie que cette vulnérabilité n'a aucun impact à moins qu'un autre plugin ou thème contenant une chaîne POP ne soit installé sur le site. Si une chaîne POP est présente via un plugin ou un thème supplémentaire installé sur le système cible, elle peut permettre à l'attaquant d'effectuer des actions telles que supprimer des fichiers arbitraires, récupérer des données sensibles ou exécuter du code en fonction de la chaîne POP présente. Remarque : Cette vulnérabilité nécessite que le plugin Live Composer soit également installé et actif.
Solution : Mise à jour vers la version 3.1.9.7 ou une version corrigée plus récente
Aller sur le site Advanced AJAX Product Filters
Publié le mardi 17 février 2026
WP Maps <= 4.8.6 - Inclusion de fichiers locaux limités authentifiés (Abonné +)
Le plugin WP Maps – Store Locator, Google Maps, OpenStreetMap, Mapbox, Listing, Directory & Filters pour WordPress est vulnérable à l’inclusion de fichiers locaux dans toutes les versions jusqu’à 4.8.6 incluse via la fonction fc_load_template. Cela permet aux attaquants authentifiés, disposant d'un accès au niveau de l'abonné et supérieur, d'inclure et d'exécuter des fichiers .html arbitraires sur le serveur, permettant ainsi l'exécution de n'importe quel code PHP dans ces fichiers. Cela peut être utilisé pour contourner les contrôles d'accès, obtenir des données sensibles ou réaliser l'exécution de code dans les cas où les types de fichiers .html peuvent être téléchargés et inclus.
Solution : Mise à jour vers la version 4.8.7 ou une version corrigée plus récente
Aller sur le site WP Maps – Store Locator,Google Maps,OpenStreetMap,Mapbox,Listing,Directory & Filters
Publié le lundi 16 février 2026
Jetpack CRM <= 6.7.0 - Inclusion de fichiers locaux non authentifiés
Le plugin Jetpack CRM pour WordPress est vulnérable à l'inclusion de fichiers locaux dans les versions jusqu'à 6.7.0 incluses. Cela permet à des attaquants non authentifiés d'inclure et d'exécuter des fichiers arbitraires sur le serveur, permettant ainsi l'exécution de n'importe quel code PHP dans ces fichiers. Cela peut être utilisé pour contourner les contrôles d'accès, obtenir des données sensibles ou réaliser l'exécution de code dans les cas où des images et d'autres types de fichiers « sûrs » peuvent être téléchargés et inclus.
Solution : Aucun correctif connu disponible. Veuillez examiner les détails de la vulnérabilité en profondeur et utiliser des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel concerné et de trouver un remplaçant.
Aller sur le site Jetpack CRM – Clients, Leads, Invoices, Billing, Email Marketing, & Automation
Publié le lundi 16 février 2026
Ecwid by Lightspeed Ecommerce Shopping Cart <= 7.0.7 - Augmentation de privilèges authentifiée (Abonné +) via ec_store_admin_access
Le plugin Ecwid by Lightspeed Ecommerce Shopping Cart pour WordPress est vulnérable à l'escalade de privilèges dans toutes les versions jusqu'à la 7.0.7 incluse. Cela est dû à une vérification de capacité manquante dans la fonction 'save_custom_user_profile_fields'. Cela permet aux attaquants authentifiés, avec des autorisations minimales telles qu'un abonné, de fournir le paramètre « ec_store_admin_access » lors d'une mise à jour de profil et d'obtenir l'accès du gestionnaire de magasin au site.
Solution : Mise à jour vers la version 7.0.8 ou une version corrigée plus récente
Aller sur le site Ecwid by Lightspeed Ecommerce Shopping Cart
Publié le samedi 14 février 2026
Protection anti-spam, Honeypot, Anti-Spam par CleanTalk <= 6.71 - Contournement d'autorisation via DNS inversé (enregistrement PTR) Usurpation d'une installation de plugin arbitraire non authentifiée
Le plugin de protection anti-spam, anti-spam et pare-feu de CleanTalk pour WordPress est vulnérable à l'installation arbitraire non autorisée de plugin en raison d'un contournement d'autorisation via une usurpation d'identité DNS inversée (enregistrement PTR) sur la fonction « checkWithoutToken » dans toutes les versions jusqu'à 6.71 incluse. Cela permet à des attaquants non authentifiés d'installer et d'activer des plugins arbitraires qui peuvent être exploités pour réaliser l'exécution de code à distance si un autre plugin vulnérable est installé et activé. Remarque : Ceci n'est exploitable que sur les sites avec une clé API invalide.
Solution : Mise à jour vers la version 6.72 ou une version corrigée plus récente
Aller sur le site Spam protection, Honeypot, Anti-Spam by CleanTalk
Publié le samedi 14 février 2026
Migration, sauvegarde, transfert <= 0.9.123 – Téléchargement de fichiers arbitraires non authentifiés
Le plugin Migration, Sauvegarde, Staging – WPvivid Backup & Migration pour WordPress est vulnérable au téléchargement de fichiers arbitraires non authentifiés dans les versions jusqu'à et y compris 0.9.123. Cela est dû à une mauvaise gestion des erreurs dans le processus de décryptage RSA, combinée à un manque de nettoyage du chemin lors de l'écriture des fichiers téléchargés. Lorsque le plugin ne parvient pas à déchiffrer une clé de session à l'aide de openssl_private_decrypt(), il ne termine pas l'exécution et transmet à la place la valeur booléenne false à l'initialisation du chiffrement AES de la bibliothèque phpseclib. La bibliothèque traite cette fausse valeur comme une chaîne d'octets nuls, permettant à un attaquant de chiffrer une charge utile malveillante à l'aide d'une clé prévisible d'octets nuls. De plus, le plugin accepte les noms de fichiers de la charge utile déchiffrée sans nettoyage, permettant ainsi la traversée du répertoire pour échapper au répertoire de sauvegarde protégé. Cela permet à des attaquants non authentifiés de télécharger des fichiers PHP arbitraires dans des répertoires accessibles au public et de réaliser l'exécution de code à distance via le paramètre wpvivid_action=send_to_site.
Solution : Mise à jour vers la version 0.9.124 ou une version corrigée plus récente
Aller sur le site Migration, Backup, Staging – WPvivid Backup & Migration
Publié le mardi 10 février 2026
Forum wpForo <= 2.4.13 - Injection d'objet PHP authentifié (Abonné+)
Le plugin wpForo Forum pour WordPress est vulnérable à l'injection d'objets PHP dans toutes les versions jusqu'à la 2.4.13 incluse via la désérialisation des entrées non fiables dans la fonction « wpforo_display_array_data ». Cela permet aux attaquants authentifiés, avec un accès au niveau de l'abonné et supérieur, d'injecter un objet PHP. Aucune chaîne POP connue n'est présente dans le logiciel vulnérable, ce qui signifie que cette vulnérabilité n'a aucun impact à moins qu'un autre plugin ou thème contenant une chaîne POP ne soit installé sur le site. Si une chaîne POP est présente via un plugin ou un thème supplémentaire installé sur le système cible, elle peut permettre à l'attaquant d'effectuer des actions telles que supprimer des fichiers arbitraires, récupérer des données sensibles ou exécuter du code en fonction de la chaîne POP présente.
Solution : Mise à jour vers la version 2.4.14 ou une version corrigée plus récente
Aller sur le site wpForo Forum
Publié le mardi 10 février 2026
Tutor LMS <= 3.9.5 - Référence d'objet direct non sécurisée à la modification et à la suppression arbitraires de cours authentifiés (Instructeur+)
Le plugin Tutor LMS – solution d’apprentissage en ligne et de cours en ligne pour WordPress est vulnérable aux références d’objet directes non sécurisées (IDOR) dans toutes les versions jusqu’à la version 3.9.5 incluse. Cela est dû à l'absence de contrôles d'autorisation au niveau de l'objet dans les fonctions `course_list_bulk_action()`, `bulk_delete_course()` et `update_course_status()`. Cela permet aux attaquants authentifiés, disposant d'un accès de niveau Tutor Instructor et supérieur, de modifier ou de supprimer des cours arbitraires dont ils ne sont pas propriétaires en manipulant les identifiants de cours dans des demandes d'action groupées.
Solution : Mise à jour vers la version 3.9.6 ou une version corrigée plus récente
Aller sur le site Tutor LMS – eLearning and online course solution
Publié le lundi 02 février 2026
Beaver Builder <= 2.9.4.1 - Exécution de code à distance authentifié (Contributeur+)
Le plugin Beaver Builder Page Builder – Drag and Drop Website Builder pour WordPress est vulnérable à l’exécution de code à distance dans toutes les versions jusqu’à et y compris la 2.9.4.1. Cela permet aux attaquants authentifiés, disposant d’un accès de niveau Contributeur et supérieur, d’exécuter du code sur le serveur.
Solution : Mise à jour vers la version 2.9.4.2 ou une version corrigée plus récente
Aller sur le site Beaver Builder Page Builder – Drag and Drop Website Builder
Publié le mercredi 21 janvier 2026
Champs personnalisés avancés : étendus <= 0.9.2.1 - augmentation de privilèges non authentifiée via l'action d'insertion de formulaire utilisateur
Le plugin Advanced Custom Fields: Extended pour WordPress est vulnérable à l'élévation de privilèges dans toutes les versions jusqu'à la 0.9.2.1 incluse. Cela est dû au fait que la fonction « insert_user » ne restreint pas les rôles avec lesquels un utilisateur peut s'inscrire. Cela permet à des attaquants non authentifiés de fournir le rôle « administrateur » lors de l'inscription et d'obtenir un accès administrateur au site. Remarque : La vulnérabilité ne peut être exploitée que si le « rôle » est mappé au champ personnalisé.
Solution : Mise à jour vers la version 0.9.2.2 ou une version corrigée plus récente
Aller sur le site Advanced Custom Fields: Extended
Publié le lundi 19 janvier 2026
Dokan : Solution de marché multifournisseur WooCommerce alimentée par l'IA – Créez votre propre Amazon, eBay, Etsy <= 4.2.4 - Référence d'objet direct non sécurisée à la prise de contrôle de compte PayPal et à la divulgation d'informations sensibles
Le Dokan : Solution de marché multifournisseur WooCommerce alimentée par l'IA – Créez votre propre plugin Amazon, eBay, Etsy pour WordPress est vulnérable à la référence d'objet direct non sécurisée dans les versions jusqu'à 4.2.4 incluses via le point de terminaison de l'API REST `/wp-json/dokan/v1/settings` en raison d'une validation manquante sur une clé contrôlée par l'utilisateur. Cela permet aux attaquants authentifiés, disposant d'autorisations au niveau client et supérieures, de lire ou de modifier les paramètres des magasins d'autres fournisseurs, y compris les informations de paiement sensibles (e-mail PayPal, coordonnées bancaires, numéros de routage, IBAN, codes SWIFT), les numéros de téléphone et les adresses, et de remplacer les adresses e-mail PayPal par des adresses contrôlées par les attaquants, permettant ainsi le vol financier lorsque la place de marché traite les paiements.
Solution : Mise à jour vers la version 4.2.5 ou une version corrigée plus récente
Aller sur le site Dokan: AI Powered WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy
Publié le lundi 19 janvier 2026
RegistrationMagic <= 6.0.7.1 - Escalade de privilèges via admin_order
Le plugin RegistrationMagic pour WordPress est vulnérable à l'escalade de privilèges dans toutes les versions jusqu'à la 6.0.7.1 incluse. Cela est dû au fait que la fonction « add_menu » est accessible via l'action AJAX « rm_user_exists » et permet des mises à jour arbitraires du paramètre « admin_order ». Cela permet à des attaquants non authentifiés d'injecter un slug vide dans le paramètre order et de manipuler la logique de génération de menu du plugin, et lorsque le menu d'administration est ensuite construit, le plugin ajoute la capacité « manage_options » pour le rôle cible. Remarque : La vulnérabilité ne peut être exploitée que sans authentification, mais une élévation de privilèges ultérieure nécessite au moins un utilisateur abonné.
Solution : Mise à jour vers la version 6.0.7.2 ou une version corrigée plus récente
Aller sur le site RegistrationMagic – Custom Registration Forms, User Registration, Payment, and User Login
Publié le vendredi 16 janvier 2026
Supreme Modules Lite <= 2.5.62 - Téléchargement de fichiers arbitraire authentifié (Auteur +) via le contournement du téléchargement JSON
Le plugin Supreme Modules Lite pour WordPress est vulnérable au téléchargement de fichiers arbitraires dans toutes les versions jusqu'à la 2.5.62 incluse. Cela est dû à une validation insuffisante du type de fichier détectant les fichiers JSON, permettant aux fichiers à double extension de contourner la désinfection tout en étant acceptés comme fichier JSON valide. Cela permet aux attaquants authentifiés, disposant d'un accès au niveau de l'auteur ou supérieur, de télécharger des fichiers arbitraires sur le serveur du site concerné, ce qui peut rendre possible l'exécution de code à distance.
Solution : Mise à jour vers la version 2.5.63 ou une version corrigée plus récente
Aller sur le site Supreme Modules Lite – Divi Theme, Extra Theme and Divi Builder
Publié le jeudi 15 janvier 2026
Générateur de profils utilisateur <= 3.15.1 - Augmentation de privilèges non authentifiée via la prise de contrôle de compte
Le plugin User Profile Builder – Beautiful User Registration Forms, User Profiles & User Role Editor pour WordPress est vulnérable à l’élévation de privilèges via la prise de contrôle de compte dans toutes les versions jusqu’à et y compris la 3.15.1. Cela est dû au fait que le plugin ne valide pas correctement l'identité d'un utilisateur avant de mettre à jour son mot de passe. Cela permet à des attaquants non authentifiés de modifier les mots de passe arbitraires d'utilisateurs, y compris d'administrateurs, et d'en tirer parti pour accéder à leur compte.
Solution : Mise à jour vers la version 3.15.2 ou une version corrigée plus récente
Aller sur le site User Profile Builder – Beautiful User Registration Forms, User Profiles & User Role Editor
Publié le lundi 12 janvier 2026
Personnalisateur de page de connexion personnalisée <= 2.5.3 - Augmentation de privilèges non authentifiée via la réinitialisation du mot de passe
Le plugin Custom Login Page Customizer pour WordPress est vulnérable à l’élévation de privilèges via la prise de contrôle de compte dans toutes les versions jusqu’à la 2.5.3 incluse. Cela est dû au fait que le plugin ne valide pas correctement l'identité d'un utilisateur avant de mettre à jour son mot de passe. Cela permet à des attaquants non authentifiés de modifier les mots de passe arbitraires d'utilisateurs, y compris d'administrateurs, et d'en tirer parti pour accéder à leur compte.
Solution : Mise à jour vers la version 2.5.4 ou une version corrigée plus récente
Aller sur le site Custom Login Page Customizer
Publié le jeudi 08 janvier 2026
Imprimer la facture et les bons de livraison pour WooCommerce <= 5.8.0 - Exécution de code à distance non authentifié
Le plugin Print Invoice & Delivery Notes for WooCommerce pour WordPress est vulnérable à l'exécution de code à distance dans toutes les versions jusqu'à et y compris la 5.8.0 via la fonction « WooCommerce_Delivery_Notes :: update ». Cela est dû à l'absence de vérification des capacités dans la fonction « WooCommerce_Delivery_Notes :: update », à PHP activé dans Dompdf et à l'absence d'échappement dans le fichier « template.php ». Cela permet à des attaquants non authentifiés d'exécuter du code sur le serveur.
Solution : Mise à jour vers la version 5.9.0 ou une version corrigée plus récente
Aller sur le site Print Invoice & Delivery Notes for WooCommerce
Publié le mardi 23 décembre 2025
Comment un site wordpress peut être piraté ?
Pour pirater wordpress, le pirate peut :
- Se servir d’une faille de sécurité wordpress;
- Utiliser une faille de sécurité dans un plugin;
- Utiliser une faille dans le thème wordpress.
La faille vient souvent d’un formulaire même si votre site n’en affiche pas.
C’est pourquoi il est important que wordpress, les plugins et le thème doivent toujours être à jour.
Comment désinfecter un site wordpress piraté ?
- Mettez votre site WordPress en mode maintenance
- Changer tous vos mots de passe
- Nettoyer la base de données
- Télécharger la dernière version de wordpress pour remplacer tous les fichiers sources
- Télécharger les dernières versions de plugins
- Nettoyer votre thème
Si vous avez une sauvegarde vous pouvez la restaurer et ensuite mettre à jour wordpress, les plugins et le thème.
Comment accéder à mon site wordpress qui a ete piraté ?
Pour accéder à votre site wordpress piraté il faut :
- Nettoyer la base de données;
- Nettoyer les fichiers;
- Mettre à jours le core, les plugins et le thème;
- Sécuriser wordpress.
Lorsque vous avez tout nettoyé et qu’il n’y a pas d’erreur vous pourrez ensuite accéder à votre site.
Comment savoir si mon site wordpress à été piraté ?
Votre site wordpress peut avoir été piraté si :
- Du contenu a été modifié;
- Des pages ont été créés;
- Du texte et des caractères étranges s’affichent;
- Il y a des rédirections vers des sites frauduleux;
- Votre site est plus lent.
Si vous pensez que votre site a été piraté il ne faut pas trop attendre car plus vous attendrez plus la réparation sera difficile.
Est-ce que je peux réparer mon site wordpress par moi meme ?
Vous pouvez réparer votre site web wordpress par vous-même. De bonne pratique de développement et quelques règles de base de sécurisation pourront réduire les risques de piratage.
Si vous avez besoin d’une assistance pour la maintenance de votre site wp contactez-nous, des experts sont là pour vous répondre.