Solutions expertes pour protéger, réparer et maintenir votre site WordPress
Besoin d’une maintenance régulière ? D’une assistance technique sur mesure ? d’une réparation rapide ou d’un nettoyage après un piratage ? Nous sommes là pour vous.
Nos experts interviennent rapidement pour garantir la sécurité, la performance et la fiabilité de votre site.
SÉCURISATION
NETTOYAGE
AUDIT
Nos services pour les sites WordPress
Assistance technique WordPress – Un support réactif et efficace
Vous rencontrez des problèmes techniques sur votre site WordPress ? Qu’il s’agisse d’un bug, d’une erreur d’affichage, d’un conflit entre plugins ou d’une difficulté à configurer votre site, notre équipe d’experts WordPress est là pour vous aider.
Nettoyage et sécurisation de Site WordPress piraté
Votre site WordPress a été compromis par un piratage ? Une intrusion malveillante peut entraîner une perte de référencement, un vol de données ou un avertissement Google, impactant gravement votre activité. Nous intervenons sous 48h pour nettoyer, restaurer et sécuriser votre site.
Maintenance WordPress – Préventive, corrective et évolutive
Un site WordPress performant nécessite une maintenance régulière pour éviter les bugs, renforcer la sécurité et améliorer le référencement. Notre service de maintenance WordPress garantit la stabilité, la rapidité et l’évolution continue de votre site.
Réparation WordPress – Intervention rapide sur site en panne
Votre site WordPress ne fonctionne plus correctement ? Une erreur 500, un conflit de plugin ou une mise à jour défectueuse peuvent rendre votre site inaccessible. Nous intervenons rapidement pour résoudre tous vos problèmes techniques et remettre votre site en état de marche.
Pourquoi nous choisir ?
Expérience
Parce que pour un bon accompagnement WordPress, il faut bien le connaitre.
Nous sommes une équipe d’expert wordpress avec plusieurs années d’expérience, nous maîtrisons tous les aspects techniques.
Réponse rapide
Parce qu’une panne, un dysfonctionnement survient souvent au moment qu’il ne faut pas.
Une question ne peux pas attendre plusieurs jours, nos experts agissent en moins de 24 heures pour les services urgents.
Solutions complètes
Parce que réparer WordPress ne suffit pas, il faut aussi bien protéger.
De la prévention à la résolution des problèmes, nous vous accompagnons à chaque étape.
Situé en France
Parce que la proximité est importante pour établir une relation de confiance sur le long terme.
Notre entreprise est localisée en France, nos experts sont tous situés en France en Maine-et-Loire à Angers.
Nos autres services
Hébergement de votre site et sauvegarde de vos données
Serveur régulièrement mis à jour
Données quodiennement sauvegardées et répliquées
Vos sites fréquemment mis à jour
Intervention à la demande pour des modifications
Gestion de votre messagerie et de vos domaines
Configuration de vos domaines
Renouvellement de vos domaines
Renouvellement de vos certificats
Gestion de vos boîtes mails
Déblacklistage en cas de soucis d’envoi
Nos engagements
Fiabilité
Votre site entre de bonnes mains avec des solutions pérennes.
Disponibilité
Un support réactif pour répondre à toutes vos demandes.
Sérénité
Vous concentrez sur votre activité pendant que nous gérons l’aspect technique.
Actualités de la sécurité WordPress
Tutor LMS <= 3.9.5 - Référence d'objet direct non sécurisée à la modification et à la suppression arbitraires de cours authentifiés (Instructeur+)
Le plugin Tutor LMS – solution d’apprentissage en ligne et de cours en ligne pour WordPress est vulnérable aux références d’objet directes non sécurisées (IDOR) dans toutes les versions jusqu’à la version 3.9.5 incluse. Cela est dû à l'absence de contrôles d'autorisation au niveau de l'objet dans les fonctions `course_list_bulk_action()`, `bulk_delete_course()` et `update_course_status()`. Cela permet aux attaquants authentifiés, disposant d'un accès de niveau Tutor Instructor et supérieur, de modifier ou de supprimer des cours arbitraires dont ils ne sont pas propriétaires en manipulant les identifiants de cours dans des demandes d'action groupées.
Solution : Mise à jour vers la version 3.9.6 ou une version corrigée plus récente
Aller sur le site Tutor LMS – eLearning and online course solution
Publié le lundi 02 février 2026
Beaver Builder <= 2.9.4.1 - Exécution de code à distance authentifié (Contributeur+)
Le plugin Beaver Builder Page Builder – Drag and Drop Website Builder pour WordPress est vulnérable à l’exécution de code à distance dans toutes les versions jusqu’à et y compris la 2.9.4.1. Cela permet aux attaquants authentifiés, disposant d’un accès de niveau Contributeur et supérieur, d’exécuter du code sur le serveur.
Solution : Mise à jour vers la version 2.9.4.2 ou une version corrigée plus récente
Aller sur le site Beaver Builder Page Builder – Drag and Drop Website Builder
Publié le mercredi 21 janvier 2026
Champs personnalisés avancés : étendus <= 0.9.2.1 - augmentation de privilèges non authentifiée via l'action d'insertion de formulaire utilisateur
Le plugin Advanced Custom Fields: Extended pour WordPress est vulnérable à l'élévation de privilèges dans toutes les versions jusqu'à la 0.9.2.1 incluse. Cela est dû au fait que la fonction « insert_user » ne restreint pas les rôles avec lesquels un utilisateur peut s'inscrire. Cela permet à des attaquants non authentifiés de fournir le rôle « administrateur » lors de l'inscription et d'obtenir un accès administrateur au site. Remarque : La vulnérabilité ne peut être exploitée que si le « rôle » est mappé au champ personnalisé.
Solution : Mise à jour vers la version 0.9.2.2 ou une version corrigée plus récente
Aller sur le site Advanced Custom Fields: Extended
Publié le lundi 19 janvier 2026
Dokan : Solution de marché multifournisseur WooCommerce alimentée par l'IA – Créez votre propre Amazon, eBay, Etsy <= 4.2.4 - Référence d'objet direct non sécurisée à la prise de contrôle de compte PayPal et à la divulgation d'informations sensibles
Le Dokan : Solution de marché multifournisseur WooCommerce alimentée par l'IA – Créez votre propre plugin Amazon, eBay, Etsy pour WordPress est vulnérable à la référence d'objet direct non sécurisée dans les versions jusqu'à 4.2.4 incluses via le point de terminaison de l'API REST `/wp-json/dokan/v1/settings` en raison d'une validation manquante sur une clé contrôlée par l'utilisateur. Cela permet aux attaquants authentifiés, disposant d'autorisations au niveau client et supérieures, de lire ou de modifier les paramètres des magasins d'autres fournisseurs, y compris les informations de paiement sensibles (e-mail PayPal, coordonnées bancaires, numéros de routage, IBAN, codes SWIFT), les numéros de téléphone et les adresses, et de remplacer les adresses e-mail PayPal par des adresses contrôlées par les attaquants, permettant ainsi le vol financier lorsque la place de marché traite les paiements.
Solution : Mise à jour vers la version 4.2.5 ou une version corrigée plus récente
Aller sur le site Dokan: AI Powered WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy
Publié le lundi 19 janvier 2026
RegistrationMagic <= 6.0.7.1 - Escalade de privilèges via admin_order
Le plugin RegistrationMagic pour WordPress est vulnérable à l'escalade de privilèges dans toutes les versions jusqu'à la 6.0.7.1 incluse. Cela est dû au fait que la fonction « add_menu » est accessible via l'action AJAX « rm_user_exists » et permet des mises à jour arbitraires du paramètre « admin_order ». Cela permet à des attaquants non authentifiés d'injecter un slug vide dans le paramètre order et de manipuler la logique de génération de menu du plugin, et lorsque le menu d'administration est ensuite construit, le plugin ajoute la capacité « manage_options » pour le rôle cible. Remarque : La vulnérabilité ne peut être exploitée que sans authentification, mais une élévation de privilèges ultérieure nécessite au moins un utilisateur abonné.
Solution : Mise à jour vers la version 6.0.7.2 ou une version corrigée plus récente
Aller sur le site RegistrationMagic – Custom Registration Forms, User Registration, Payment, and User Login
Publié le vendredi 16 janvier 2026
Supreme Modules Lite <= 2.5.62 - Téléchargement de fichiers arbitraire authentifié (Auteur +) via le contournement du téléchargement JSON
Le plugin Supreme Modules Lite pour WordPress est vulnérable au téléchargement de fichiers arbitraires dans toutes les versions jusqu'à la 2.5.62 incluse. Cela est dû à une validation insuffisante du type de fichier détectant les fichiers JSON, permettant aux fichiers à double extension de contourner la désinfection tout en étant acceptés comme fichier JSON valide. Cela permet aux attaquants authentifiés, disposant d'un accès au niveau de l'auteur ou supérieur, de télécharger des fichiers arbitraires sur le serveur du site concerné, ce qui peut rendre possible l'exécution de code à distance.
Solution : Mise à jour vers la version 2.5.63 ou une version corrigée plus récente
Aller sur le site Supreme Modules Lite – Divi Theme, Extra Theme and Divi Builder
Publié le jeudi 15 janvier 2026
Personnalisateur de page de connexion personnalisée <= 2.5.3 - Augmentation de privilèges non authentifiée via la réinitialisation du mot de passe
Le plugin Custom Login Page Customizer pour WordPress est vulnérable à l’élévation de privilèges via la prise de contrôle de compte dans toutes les versions jusqu’à la 2.5.3 incluse. Cela est dû au fait que le plugin ne valide pas correctement l'identité d'un utilisateur avant de mettre à jour son mot de passe. Cela permet à des attaquants non authentifiés de modifier les mots de passe arbitraires d'utilisateurs, y compris d'administrateurs, et d'en tirer parti pour accéder à leur compte.
Solution : Mise à jour vers la version 2.5.4 ou une version corrigée plus récente
Aller sur le site Custom Login Page Customizer
Publié le jeudi 08 janvier 2026
Imprimer la facture et les bons de livraison pour WooCommerce <= 5.8.0 - Exécution de code à distance non authentifié
Le plugin Print Invoice & Delivery Notes for WooCommerce pour WordPress est vulnérable à l'exécution de code à distance dans toutes les versions jusqu'à et y compris la 5.8.0 via la fonction « WooCommerce_Delivery_Notes :: update ». Cela est dû à l'absence de vérification des capacités dans la fonction « WooCommerce_Delivery_Notes :: update », à PHP activé dans Dompdf et à l'absence d'échappement dans le fichier « template.php ». Cela permet à des attaquants non authentifiés d'exécuter du code sur le serveur.
Solution : Mise à jour vers la version 5.9.0 ou une version corrigée plus récente
Aller sur le site Print Invoice & Delivery Notes for WooCommerce
Publié le mardi 23 décembre 2025
Beaver Builder – WordPress Page Builder <= 2.9.4.1 - Autorisation manquante pour la mise à jour de publication arbitraire authentifiée (Abonné +)
Le plugin Beaver Builder – WordPress Page Builder pour WordPress est vulnérable aux accès non autorisés et à la modification des données en raison d'un contrôle de capacité manquant sur la fonction « dupliquer_wpml_layout » dans toutes les versions jusqu'à la 2.9.4.1 incluse. Cela permet aux attaquants authentifiés, disposant d'un accès au niveau de l'abonné et supérieur, de mettre à jour des publications arbitraires avec le contenu d'autres publications existantes, exposant potentiellement le contenu privé et protégé par mot de passe et supprimant tout contenu qui n'est pas enregistré dans les révisions ou les sauvegardes. Les publications doivent avoir été créées avec Beaver Builder pour être copiées ou mises à jour.
Solution : Mise à jour vers la version 2.9.4.2 ou une version corrigée plus récente
Aller sur le site Beaver Builder Page Builder – Drag and Drop Website Builder
Publié le lundi 22 décembre 2025
Redirection pour le formulaire de contact 7 <= 3.2.7 - Copie de fichier arbitraire non authentifiée via move_file_to_upload
Le plugin Redirection for Contact Form 7 pour WordPress est vulnérable aux téléchargements de fichiers arbitraires en raison de l'absence de validation du type de fichier dans la fonction « move_file_to_upload » dans toutes les versions jusqu'à 3.2.7 incluse. Cela permet à des attaquants non authentifiés de copier des fichiers arbitraires sur le serveur du site concerné. Si 'allow_url_fopen' est défini sur 'On', il est possible de télécharger un fichier distant sur le serveur.
Solution : Mise à jour vers la version 3.2.8 ou une version corrigée plus récente
Aller sur le site Redirection for Contact Form 7
Publié le samedi 20 décembre 2025
Galerie de photos, curseurs, vérifications et thèmes – Galerie NextGEN <= 3.59.12 - Inclusion de fichiers locaux authentifiés (Contributeur+) via « modèle »
La galerie de photos, les curseurs, la vérification et les thèmes – Le plugin NextGEN Gallery pour WordPress est vulnérable à l'inclusion de fichiers locaux dans toutes les versions jusqu'à la 3.59.12 incluse via le paramètre de shortcode « modèle ». Cela est dû à une validation de chemin insuffisante qui permet de fournir des chemins absolus. Cela permet aux attaquants authentifiés, disposant d'un accès de niveau Contributeur ou supérieur, d'inclure et d'exécuter des fichiers PHP arbitraires sur le serveur, en contournant les restrictions du serveur Web telles que .htaccess. Une exploitation réussie pourrait conduire à la divulgation d’informations, à l’exécution de code dans le contexte WordPress et à une potentielle exécution de code à distance si elle est combinée à des capacités de téléchargement de fichiers arbitraires.
Solution : Mise à jour vers la version 4.0.0 ou une version corrigée plus récente
Aller sur le site Photo Gallery, Sliders, Proofing and Themes – NextGEN Gallery
Publié le mercredi 17 décembre 2025
Commentaires – wpDiscuz <= 7.6.39 - Contournement de l'authentification non authentifiée via la prise de contrôle de compte
Le plugin Commentaires – wpDiscuz pour WordPress est vulnérable au contournement d’authentification dans toutes les versions jusqu’à la 7.6.39 incluse. Cela est dû au fait que le plugin ne valide pas correctement l'identité d'un utilisateur via le fournisseur disqus.com. Cela permet aux attaquants non authentifiés de s'authentifier en tant qu'autres utilisateurs s'ils n'ont pas configuré disqus.
Solution : Mise à jour vers la version 7.6.40 ou une version corrigée plus récente
Aller sur le site Comments – wpDiscuz
Publié le jeudi 11 décembre 2025
Modèles de démarrage <= 4.4.41 - Téléchargement arbitraire de fichiers authentifiés (Auteur +) via le contournement du téléchargement WXR
Le plugin Starter Templates pour WordPress est vulnérable au téléchargement de fichiers arbitraires dans toutes les versions jusqu'à la 4.4.41 incluse. Cela est dû à une validation insuffisante du type de fichier détectant les fichiers WXR, permettant aux fichiers à double extension de contourner la désinfection tout en étant acceptés comme fichier WXR valide. Cela permet aux attaquants authentifiés, disposant d'un accès au niveau de l'auteur ou supérieur, de télécharger des fichiers arbitraires sur le serveur du site concerné, ce qui peut rendre possible l'exécution de code à distance.
Solution : Mise à jour vers la version 4.4.42 ou une version corrigée plus récente
Aller sur le site Starter Templates – AI-Powered Templates for Elementor & Gutenberg
Publié le vendredi 05 décembre 2025
10Web Booster <= 2.32.7 - Suppression arbitraire de dossiers authentifiés (Abonné +) via two_clear_page_cache
Le plugin 10Web Booster – Optimisation de la vitesse du site Web, optimiseur de cache et de vitesse de page pour WordPress est vulnérable à la suppression arbitraire de dossiers en raison d'une validation insuffisante du chemin de fichier dans la fonction get_cache_dir_for_page_from_url() dans toutes les versions jusqu'à 2.32.7 incluse. Cela permet aux attaquants authentifiés, disposant d'un accès au niveau de l'abonné et supérieur, de supprimer des dossiers arbitraires sur le serveur, ce qui peut facilement entraîner une perte de données ou un déni de service.
Solution : Mise à jour vers la version 2.32.11 ou une version corrigée plus récente
Aller sur le site 10Web Booster – Website speed optimization, Cache & Page Speed optimizer
Publié le vendredi 05 décembre 2025
Champs personnalisés avancés : étendus 0.9.0.5 à 0.9.1.1 - Exécution de code à distance non authentifié dans prepare_form
Le plugin Advanced Custom Fields: Extended pour WordPress est vulnérable à l'exécution de code à distance dans les versions 0.9.0.5 à 0.9.1.1 via la fonction prepare_form(). Cela est dû au fait que la fonction accepte les entrées de l'utilisateur et les transmet ensuite via call_user_func_array(). Cela permet à des attaquants non authentifiés d'exécuter du code arbitraire sur le serveur, qui peut être exploité pour injecter des portes dérobées ou créer de nouveaux comptes d'utilisateurs administratifs.
Solution : Mise à jour vers la version 0.9.2 ou une version corrigée plus récente
Aller sur le site Advanced Custom Fields: Extended
Publié le mardi 02 décembre 2025
Cost Calculator Builder <= 3.6.3 - Suppression de fichiers arbitraires non authentifiés
Le plugin Cost Calculator Builder pour WordPress est vulnérable à la suppression arbitraire de fichiers en raison d'une validation insuffisante du chemin de fichier dans la fonction deleteOrdersFiles() dans toutes les versions jusqu'à 3.6.3 incluse. Cela permet à des attaquants non authentifiés d'injecter des chemins de fichiers arbitraires dans les commandes supprimées lorsqu'un administrateur les supprime. Cela peut conduire à l'exécution de code à distance lorsque le bon fichier est supprimé (comme wp-config.php). Cette vulnérabilité nécessite que la version Cost Calculator Builder Pro soit installée avec la version gratuite pour être exploitable.
Solution : Mise à jour vers la version 3.6.4 ou une version corrigée plus récente
Aller sur le site Cost Calculator Builder
Publié le lundi 01 décembre 2025
Blubrry PowerPress <= 11.15.2 - Téléchargement de fichiers arbitraires authentifiés (Contributeur+) via 'powerpress_edit_post'
Le plugin Blubrry PowerPress pour WordPress est vulnérable aux téléchargements de fichiers arbitraires en raison d'une validation insuffisante du type de fichier dans toutes les versions jusqu'à la 11.15.2 incluse. Cela est dû au fait que le plugin valide les extensions de fichiers mais n'arrête pas l'exécution lorsque la validation échoue dans la fonction 'powerpress_edit_post'. Cela permet aux attaquants authentifiés, disposant d'un accès de niveau Contributeur ou supérieur, de télécharger des fichiers arbitraires sur le serveur du site concerné, ce qui peut rendre possible l'exécution de code à distance.
Solution : Mise à jour vers la version 11.15.3 ou une version corrigée plus récente
Aller sur le site PowerPress Podcasting plugin by Blubrry
Publié le mercredi 26 novembre 2025
Extraits de code <= 3.9.1 - Injection de code PHP authentifié (Contributeur+) via extract() et chaînes de filtres PHP
Le plugin Code Snippets pour WordPress est vulnérable à PHP Code Injection dans toutes les versions jusqu'à la 3.9.1 incluse. Cela est dû à l'utilisation par le plugin de extract() sur les attributs de shortcode contrôlés par l'attaquant dans la méthode `evaluate_shortcode_from_flat_file`, qui peut être utilisée pour écraser la variable `$filepath` et ensuite transmise à require_once. Cela permet aux attaquants authentifiés, avec un accès de niveau Contributeur et supérieur, d'exécuter du code PHP arbitraire sur le serveur via le shortcode `[code_snippet]` en utilisant des chaînes de filtres PHP, à condition qu'ils puissent tromper un administrateur en activant le paramètre "Activer l'exécution basée sur un fichier" et en créant au moins un extrait de contenu actif.
Solution : Mise à jour vers la version 3.9.2 ou une version corrigée plus récente
Aller sur le site Code Snippets
Publié le mardi 18 novembre 2025
LifterLMS – WP LMS pour l'eLearning, les cours en ligne et les quiz – Différentes versions – Augmentation de privilèges authentifiée (étudiant +)
Le plugin LifterLMS – WP LMS pour eLearning, cours en ligne et quiz pour WordPress est vulnérable à l’élévation de privilèges. Cela est dû au fait que le plugin ne valide pas correctement l'identité d'un utilisateur avant de lui permettre de modifier son propre rôle via l'API REST. La vérification des autorisations dans la fonction update_item_permissions_check() renvoie true lorsqu'un utilisateur met à jour son propre compte sans vérifier les changements de rôle. Cela permet aux attaquants authentifiés, disposant d'un accès de niveau étudiant et supérieur, d'élever leurs privilèges au rang d'administrateur en mettant à jour leur propre tableau de rôles via une requête API REST spécialement conçue. Un autre point de terminaison destiné aux instructeurs fournit également un vecteur d'attaque. Les plages de versions concernées sont 3.5.3-3.41.2, 4.0.0-4.21.3, 5.0.0-5.10.0, 6.0.0-6.11.0, 7.0.0-7.8.7, 8.0.0-8.0.7, 9.0.0-9.0.7, 9.1.0.
Solution : Mettez à jour vers l'une des versions suivantes ou une version corrigée plus récente : 3.41.2, 4.21.4, 5.10.1, 6.11.1, 7.8.8, 8.0.8, 9.0.8, 9.1.1.
Aller sur le site LifterLMS – WP LMS for eLearning, Online Courses, & Quizzes
Publié le mercredi 12 novembre 2025
Importez n'importe quel fichier XML, CSV ou Excel dans WordPress (WP All Import) <= 3.9.6 - Exécution de code à distance authentifié (administrateur +) via une logique conditionnelle
Le plugin Importer n’importe quel fichier XML, CSV ou Excel vers WordPress (WP All Import) pour WordPress est vulnérable à l’exécution de code à distance dans toutes les versions jusqu’à et y compris la 3.9.6. Cela est dû à l'utilisation de eval() sur une entrée non nettoyée fournie par l'utilisateur dans la fonction pmxi_if dans helpers/functions.php. Cela permet aux attaquants authentifiés, dotés de capacités d'importation (généralement des administrateurs), d'injecter et d'exécuter du code PHP arbitraire sur le serveur via des modèles d'importation spécialement conçus. Cela peut conduire à l’exécution de code à distance.
Solution : Mise à jour vers la version 4.0.0 ou une version corrigée plus récente
Aller sur le site Import any XML, CSV or Excel File to WordPress
Publié le mercredi 12 novembre 2025
Blocksy Companion <= 2.1.19 - Téléchargement de fichiers arbitraires authentifiés (Auteur +) via le contournement du téléchargement SVG
Le plugin Blocksy Companion pour WordPress est vulnérable au téléchargement de fichiers arbitraires authentifiés dans toutes les versions jusqu'à la 2.1.19 incluse. Cela est dû à une validation insuffisante du type de fichier détectant les fichiers SVG, permettant aux fichiers à double extension de contourner la désinfection tout en étant acceptés comme fichier SVG valide. Cela permet aux attaquants authentifiés, disposant d'un accès de niveau auteur ou supérieur, de télécharger des fichiers arbitraires sur le serveur du site concerné, ce qui peut rendre possible l'exécution de code à distance.
Solution : Mise à jour vers la version 2.1.20 ou une version corrigée plus récente
Aller sur le site Blocksy Companion
Publié le lundi 10 novembre 2025
Meilleure recherche et remplacement <= 1.7.7 - Injection de code limitée authentifiée (abonné +)
Le plugin Better Find and Replace – AI-Powered Suggestions pour WordPress est vulnérable à l’injection de code limitée dans toutes les versions jusqu’à la 1.7.7 incluse. Cela est dû à une validation d'entrée insuffisante et à une restriction sur la fonction 'rtafar_ajax'. Cela permet aux attaquants authentifiés, disposant d'un accès au niveau de l'abonné et supérieur, d'appeler des fonctions de plug-in arbitraires et d'exécuter du code dans ces fonctions.
Solution : Mise à jour vers la version 1.7.8 ou une version corrigée plus récente
Aller sur le site Better Find and Replace – AI-Powered Suggestions
Publié le vendredi 07 novembre 2025
Fonctionnalités Premium Portfolio pour le thème Phlox <= 2.3.10 - Inclusion de fichiers locaux non authentifiés via args[extra_template_path]
Le plugin de thème Premium Portfolio Features for Phlox pour WordPress est vulnérable à l'inclusion de fichiers locaux dans toutes les versions jusqu'à la 2.3.10 incluse via le paramètre 'args[extra_template_path]'. Cela permet à des attaquants non authentifiés d'inclure et d'exécuter des fichiers .php arbitraires sur le serveur, permettant ainsi l'exécution de n'importe quel code PHP dans ces fichiers. Cela peut être utilisé pour contourner les contrôles d'accès, obtenir des données sensibles ou réaliser l'exécution de code dans les cas où les types de fichiers .php peuvent être téléchargés et inclus.
Solution : Mise à jour vers la version 2.3.12 ou une version corrigée plus récente
Aller sur le site Premium Portfolio Features for Phlox theme
Publié le mardi 04 novembre 2025
AI Engine <= 3.1.3 – Exposition d'informations sensibles non authentifiées à une élévation de privilèges
Le plugin AI Engine pour WordPress est vulnérable à l'exposition d'informations sensibles dans toutes les versions jusqu'à la version 3.1.3 incluse via le point de terminaison de l'API REST /mcp/v1/ qui expose la valeur « Bearer Token » lorsque « No-Auth URL » est activé. Cela permet à des attaquants non authentifiés d'extraire le jeton du porteur, qui peut être utilisé pour accéder à une session valide et effectuer de nombreuses actions comme la création d'un nouveau compte administrateur, conduisant à une élévation de privilèges.
Solution : Mise à jour vers la version 3.1.4 ou une version corrigée plus récente
Aller sur le site AI Engine
Publié le mardi 04 novembre 2025
Comment un site wordpress peut être piraté ?
Pour pirater wordpress, le pirate peut :
- Se servir d’une faille de sécurité wordpress;
- Utiliser une faille de sécurité dans un plugin;
- Utiliser une faille dans le thème wordpress.
La faille vient souvent d’un formulaire même si votre site n’en affiche pas.
C’est pourquoi il est important que wordpress, les plugins et le thème doivent toujours être à jour.
Comment désinfecter un site wordpress piraté ?
- Mettez votre site WordPress en mode maintenance
- Changer tous vos mots de passe
- Nettoyer la base de données
- Télécharger la dernière version de wordpress pour remplacer tous les fichiers sources
- Télécharger les dernières versions de plugins
- Nettoyer votre thème
Si vous avez une sauvegarde vous pouvez la restaurer et ensuite mettre à jour wordpress, les plugins et le thème.
Comment accéder à mon site wordpress qui a ete piraté ?
Pour accéder à votre site wordpress piraté il faut :
- Nettoyer la base de données;
- Nettoyer les fichiers;
- Mettre à jours le core, les plugins et le thème;
- Sécuriser wordpress.
Lorsque vous avez tout nettoyé et qu’il n’y a pas d’erreur vous pourrez ensuite accéder à votre site.
Comment savoir si mon site wordpress à été piraté ?
Votre site wordpress peut avoir été piraté si :
- Du contenu a été modifié;
- Des pages ont été créés;
- Du texte et des caractères étranges s’affichent;
- Il y a des rédirections vers des sites frauduleux;
- Votre site est plus lent.
Si vous pensez que votre site a été piraté il ne faut pas trop attendre car plus vous attendrez plus la réparation sera difficile.
Est-ce que je peux réparer mon site wordpress par moi meme ?
Vous pouvez réparer votre site web wordpress par vous-même. De bonne pratique de développement et quelques règles de base de sécurisation pourront réduire les risques de piratage.
Si vous avez besoin d’une assistance pour la maintenance de votre site wp contactez-nous, des experts sont là pour vous répondre.