Aller au contenu principal
Technique

5 failles WordPress les plus exploitées et comment s'en protéger

WordPress propulse 43% du web (W3Techs, 2024) mais reste une cible privilégiée. Découvrez les 5 failles les plus exploitées et comment s'en protéger.

3 min de lecture
5 failles WordPress les plus exploitées et comment s'en protéger
Sommaire

En résumé : Votre site WordPress est exposé à 5 failles classiques que les attaquants exploitent en priorité.
La bonne nouvelle : chacune a une solution simple.
Mises à jour, mots de passe solides et limitation des plugins suffisent à éliminer la grande majorité des risques.

FailleRisqueSolution
Injection SQL (plugins)Vol de toute la base de données (clients, mots de passe)Mettre à jour les plugins, supprimer les inactifs, installer un pare-feu applicatif (WAF)
Cross-Site Scripting (XSS)Prise de contrôle du back-office, redirection vers du phishingMettre à jour thèmes et plugins, activer les en-têtes de sécurité
Force brute sur wp-loginCompromission du compte administrateurAuthentification renforcée (MFA) + limitation des tentatives + URL personnalisée
Abus de XML-RPCAmplification de force brute, participation à des attaques DDoSDésactiver XML-RPC (inutile pour la plupart des sites)
Upload de fichiers malveillantsExécution de code sur le serveur, accès completDésactiver PHP dans /uploads, restreindre les types autorisés

1. Injection SQL via les plugins

Le cœur de WordPress est relativement sûr. Le problème vient des plugins tiers qui intègrent des données utilisateur directement dans leurs requêtes SQL sans les sécuriser. Résultat : un attaquant peut extraire toute votre base de données (comptes clients, mots de passe, commandes) en quelques minutes.

Ce que vous devez faire :

  • Mettez à jour vos plugins dès qu’un correctif est disponible
  • Supprimez ceux que vous n’utilisez plus (même désactivé, un plugin vulnérable reste exploitable)
  • Installez un pare-feu applicatif comme Wordfence ou Sucuri

2. Cross-Site Scripting (XSS)

C’est la faille la plus répandue dans l’écosystème WordPress. Un thème ou un plugin affiche des données sans les filtrer correctement, ce qui permet à un attaquant d’injecter du code JavaScript malveillant dans vos pages. Les conséquences : vol de session administrateur, redirection de vos visiteurs vers un site de phishing ou injection d’un cryptomineur.

Ce que vous devez faire :

  • Gardez vos thèmes et plugins à jour
  • Privilégiez les thèmes reconnus (GeneratePress, Astra, Kadence)
  • Demandez à votre hébergeur d’activer les en-têtes de sécurité HTTP (CSP, X-Content-Type-Options)

3. Force brute sur la page de connexion

La page /wp-login.php est accessible par défaut et n’a aucune protection native contre les attaques par force brute. Les attaquants testent automatiquement des milliers de combinaisons identifiant/mot de passe par minute. Pire : WordPress révèle les noms d’utilisateurs via son API, ce qui leur facilite la tâche.

Ce que vous devez faire :

  • Activez l’authentification multi-facteur (MFA) avec WP 2FA ou Wordfence Login Security
  • Limitez les tentatives de connexion à 3-5 essais avant blocage
  • Changez l’URL de connexion avec WPS Hide Login
  • N’utilisez jamais « admin » comme identifiant

4. Abus de XML-RPC

xmlrpc.php est un ancien protocole qui permet aux applications externes de communiquer avec WordPress. La plupart des sites n’en ont plus besoin mais il reste activé par défaut. Les attaquants l’utilisent pour contourner vos protections : la méthode system.multicall permet de tester des centaines de mots de passe en une seule requête et pingback.ping peut transformer votre site en complice involontaire d’une attaque DDoS.

Ce que vous devez faire : désactivez-le purement et simplement via un plugin comme Disable XML-RPC ou demandez à votre prestataire technique de le bloquer au niveau du serveur.

5. Upload de fichiers malveillants

Certains plugins (formulaires de contact, portfolios) permettent l’upload de fichiers. Si ce mécanisme n’est pas correctement sécurisé, un attaquant peut télécharger un fichier PHP malveillant sur votre serveur et en prendre le contrôle complet : lecture de la configuration, modification du site, vol de données.

Ce que vous devez faire :

  • Demandez à votre hébergeur de désactiver l’exécution PHP dans le dossier uploads
  • Restreignez les types de fichiers autorisés
  • Si un plugin propose de l’upload, vérifiez qu’il est reconnu et régulièrement mis à jour

Ce qu’il faut retenir

Ces 5 failles représentent la grande majorité des compromissions WordPress que nous constatons lors de nos tests d’intrusion. Trois réflexes suffisent à réduire drastiquement le risque :

  1. Mettez tout à jour : WordPress, thèmes et plugins, dès qu’un correctif sort
  2. Supprimez ce que vous n’utilisez pas : chaque plugin inactif est une porte d’entrée potentielle
  3. Activez l’authentification multi-facteur (MFA) : un mot de passe seul ne suffit plus

La sécurité WordPress n’est pas un état figé : c’est un processus continu. Pour aller plus loin, l’ANSSI publie un guide dédié à la mise en œuvre sécurisée d’un CMS. Un audit régulier permet de vérifier que vos protections tiennent face aux nouvelles techniques d’attaque.

Vous souhaitez savoir si votre site WordPress est vulnérable ? Demandez un audit de vulnérabilités ou découvrez un exemple concret d’audit WordPress sur une TPE.

Service associé

Audit de Vulnérabilités

Voir le service → Étude de cas : Audit WordPress TPE →

Besoin d'un audit de sécurité ?

Contactez-nous pour évaluer la sécurité de votre infrastructure.

Nous contacter Voir les services