Skip to content
· 6 min de lecture

Faire tourner un site WordPress obsolète : les risques de sécurité réels

Dès qu'une vulnérabilité WordPress est rendue publique, un code d'exploitation apparaît généralement sous 24 à 72 heures. Voici ce que signifie concrètement l'utilisation de plugins, de thèmes ou d'un cœur obsolètes pour votre activité, avec de vrais CVE de 2024-2025.

WordPressSecurityMaintenance
Partager

Plus de 40 % des sites WordPress font tourner au moins un plugin obsolète présentant une vulnérabilité connue. Ce n'est pas une estimation approximative : c'est un chiffre régulièrement audité par des chercheurs en sécurité WordPress. Si vous n'avez pas mis à jour vos plugins ou vos thèmes depuis quelques semaines, il y a de réelles chances que votre site fasse partie de cette catégorie.

Le risque est concret. Lorsqu'une vulnérabilité est corrigée, le correctif lui-même révèle en quoi consistait la faille. Les chercheurs publient les détails techniques. Des scanners automatisés commencent à sonder les sites vulnérables en l'espace de quelques heures. Au troisième jour, une exploitation active à grande échelle est généralement en cours.

À quelle vitesse les vulnérabilités sont-elles exploitées ?

Le délai entre la divulgation publique et l'exploitation massive s'est considérablement réduit. En 2023, la moyenne était d'environ 15 jours. En 2025, les vulnérabilités majeures dans les plugins populaires sont typiquement exploitées activement dans les 24 à 72 heures suivant la publication du correctif.

ÉtapeDélai typique
Vulnérabilité découverte par un chercheurJour 0
Correctif publié par le développeur du pluginJours 1 à 30 (si tant est qu'il soit publié)
Détails techniques publiésLe jour même du correctif
Code d'exploitation de preuve de concept publié24 à 72 heures après le correctif
Scan automatisé de masse déclenché24 à 72 heures après le correctif
Votre site non corrigé activement exposéÀ partir du jour 3

Votre site peut être compromis sans être spécifiquement ciblé. Les attaquants font tourner des scanners automatisés qui sondent des millions de sites simultanément, à la recherche de signatures de version indiquant des installations vulnérables. Si votre site correspond, il est mis en file d'attente pour être exploité.

Des vulnérabilités réelles de 2024-2025

Il ne s'agit pas de cas hypothétiques. Ce sont des vulnérabilités spécifiques dans des plugins installés sur des millions de sites WordPress, toutes documentées publiquement.

LiteSpeed Cache : 5 millions de sites exposés

En août 2024, des chercheurs ont divulgué CVE-2024-28000, une vulnérabilité critique dans le plugin LiteSpeed Cache. La faille permettait à un attaquant non authentifié d'élever ses privilèges et de créer des comptes administrateur sur tout site affecté. LiteSpeed Cache est installé sur plus de 5 millions de sites WordPress. Les sites non corrigés pendant plus de quelques jours ont régulièrement vu des comptes administrateur frauduleux créés par des bots automatisés dans la même semaine, un schéma documenté dans les rapports d'incidents de Wordfence et Patchstack.

Really Simple Security : 4 millions de sites exposés

En novembre 2024, CVE-2024-10924 a été divulgué dans Really Simple Security (anciennement Really Simple SSL), un plugin installé sur 4 millions de sites. La vulnérabilité permettait de contourner entièrement l'authentification : un attaquant pouvait se connecter en tant que n'importe quel utilisateur, y compris les administrateurs, sans connaître le mot de passe. WordPress.org a évalué la sévérité à 9,8/10. Des tentatives d'exploitation massive ont été enregistrées dans les 24 heures suivant la divulgation publique.

WP Automatic : injection SQL à grande échelle

Début 2024, CVE-2024-27956 a été découvert dans WP Automatic, un plugin utilisé par plus de 30 000 sites pour la publication automatisée de contenus. La vulnérabilité par injection SQL permettait aux attaquants d'extraire le contenu des bases de données et de créer des comptes administrateur. Des milliers de sites ont été compromis et des portes dérobées installées en quelques semaines après la divulgation.

Ce que « obsolète » signifie vraiment

Quand on pense aux mises à jour WordPress, on pense généralement à la version du cœur. Mais la véritable surface d'attaque est bien plus étendue.

ComposantPourquoi c'est importantRisque si obsolète
Cœur WordPressLe fondement, corrigé régulièrementÉlevé : des exploits connus ciblent les anciennes versions
PluginsLe vecteur d'attaque numéro 1 : des milliers de plugins, de qualité variableCritique : la plupart des exploits ciblent les plugins
ThèmesSouvent porteurs de vulnérabilités, notamment les thèmes premium issus de marketplacesMoyen à élevé
Version PHPLe langage côté serveur sur lequel WordPress s'appuieÉlevé : PHP 7.4 (fin de vie en 2022) ne reçoit plus aucun correctif de sécurité

Une part significative des sites WordPress tourne encore sur PHP 7.x, une version en fin de vie depuis 2022 qui ne reçoit plus aucune mise à jour de sécurité. Les vulnérabilités dans PHP lui-même restent sans correctif, créant une faille de sécurité en dessous de tout le reste.

Le paradoxe des mises à jour

La réponse logique à tout ceci serait de tout mettre à jour immédiatement. Le problème : les mises à jour WordPress cassent fréquemment des choses.

Les conflits de plugins après les mises à jour majeures de WordPress sont courants. Un thème qui fonctionnait parfaitement sous WP 6.3 peut présenter des problèmes d'affichage sous WP 6.5. La mise à jour d'un plugin de paiement peut bloquer la validation des commandes. La plupart des propriétaires d'entreprise ont vécu au moins une fois le scénario du site cassé après une mise à jour. Résultat : les mises à jour sont reportées « le temps de tester » et les semaines se transforment en mois.

Activer les mises à jour automatiques réduit la fenêtre d'exposition mais introduit un risque de pannes imprévisibles. Beaucoup d'entreprises désactivent les mises à jour automatiques après une mauvaise expérience. Il n'existe pas de solution propre dans le modèle WordPress.

Ce que les attaquants font une fois dans la place

Une fois un site compromis, les attaquants ne le détruisent généralement pas immédiatement : cela révélerait l'intrusion. Ils préfèrent un accès discret et persistant.

  • Injection de spam SEO : des milliers de liens cachés vers des sites pharmaceutiques, de jeux d'argent ou pour adultes sont ajoutés à vos pages. Votre positionnement Google se dégrade. Google finit par blacklister votre domaine.
  • Redirections malveillantes : vos visiteurs (mais pas vous) sont silencieusement redirigés vers des sites malveillants. Votre trafic organique disparaît mystérieusement. Vous ne le voyez pas, car la redirection cible des patterns de trafic spécifiques.
  • Vol de données clients : les soumissions de formulaires, les coordonnées et toutes les données utilisateurs stockées sont exfiltrées.
  • Pages de phishing : de fausses pages de connexion sont hébergées sur votre domaine pour collecter les identifiants de vos visiteurs.
  • Installation de portes dérobées : une backdoor persistante est laissée en place pour que les attaquants conservent l'accès même après la correction de la vulnérabilité d'origine.

Votre responsabilité au titre du GDPR

Si votre site collecte des données identifiables, qu'il s'agisse de soumissions de formulaires de contact, d'inscriptions à une newsletter ou de comptes clients, et que ces données sont exposées en raison d'une vulnérabilité connue et non corrigée, vous êtes en infraction avec le GDPR.

L'Article 32 du GDPR impose aux organisations de mettre en œuvre des « mesures techniques appropriées » pour garantir la sécurité des données. Faire tourner des logiciels présentant des vulnérabilités critiques publiquement documentées sans les corriger n'est défendable que si vous pouvez démontrer que vous n'aviez pas de possibilité raisonnable d'effectuer la mise à jour. La réticence aux mises à jour n'est généralement pas acceptée par les autorités de protection des données comme justification d'une violation liée au traitement.

Les amendes GDPR peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Même les sanctions de niveau intermédiaire sont significatives pour les PME.

Pourquoi la mise à jour corrective n'est pas une stratégie à long terme

En 2024, les chercheurs en sécurité ont divulgué environ 8 000 nouvelles vulnérabilités dans les plugins WordPress, soit plus de 20 par jour. Ce chiffre augmente chaque année.

Maintenir le rythme exige : surveiller les bulletins de sécurité pour chaque plugin utilisé, tester les mises à jour dans un environnement de staging avant de les appliquer en production, appliquer les correctifs rapidement (sous 24 à 72 heures pour les problèmes critiques), gérer les pannes lorsque des mises à jour entrent en conflit, et piloter la remédiation d'urgence quand quelque chose passe entre les mailles.

C'est une charge de maintenance permanente. Pour une entreprise qui souhaite simplement disposer d'un site qui fonctionne, cette charge représente un coût caché considérable inhérent au modèle WordPress.

L'alternative : éliminer la surface d'attaque

Un site Next.js présente une surface d'attaque propre à WordPress plus réduite, car les classes de vulnérabilités liées aux plugins et aux thèmes n'y existent tout simplement pas sous la même forme.

  • Aucune base de données exposée sur Internet : pas de surface d'attaque par injection SQL
  • Pas d'exécution PHP côté serveur : pas de vulnérabilités d'exécution de code PHP
  • Pas d'écosystème de plugins à maintenir : les dépendances sont gérées explicitement, et non sourcées dans un catalogue de 60 000 options
  • Pas de page de connexion wp-admin : cette URL universellement connue et ciblée n'existe tout simplement pas
  • Sécurité au niveau de l'infrastructure : protection DDoS, SSL et sécurité edge pris en charge par des plateformes comme Vercel

Passer à un site JavaScript statique ou rendu côté serveur ne signifie pas zéro considération de sécurité. Cela signifie en revanche que votre équipe de maintenance n'a plus à courir contre la montre face aux divulgations quotidiennes de vulnérabilités dans un écosystème de plugins.

Évaluez votre exposition actuelle

Si vous utilisez WordPress, la première étape consiste à connaître votre situation réelle. L'audit gratuit vérifie vos indicateurs WordPress visibles, les en-têtes de réponse serveur et vos métriques de performance en 60 secondes.

Lancez l'audit sur webvise.io/wp-health-report. Si les résultats révèlent des logiciels obsolètes ou des problèmes de sécurité, webvise est disponible pour examiner avec vous les options réalistes, qu'il s'agisse d'un processus de mise à jour et de surveillance rigoureux ou d'une migration vers une architecture sans ce tapis roulant de mises à jour.

Les pratiques de webvise sont alignées sur les normes ISO 27001 et ISO 42001.