Deux vulnérabilités WordPress critiques : comment protéger votre site dès maintenant
Orphée Grandsable
Selon les dernières estimations, WordPress alimente plus de 43 % des sites web dans le monde. Cette popularité en fait une cible privilégiée pour les attaquants. En juillet 2026, deux nouvelles vulnérabilités de haute sévérité ont été découvertes et corrigées dans la version 7.0.2 de WordPress. Identifiées sous les références CVE-2026-60137 et CVE-2026-63030, ces failles peuvent permettre à un attaquant non authentifié de compromettre intégralement un site. Dans cet article, nous analysons ces vulnérabilités WordPress, leur impact réel, les versions concernées et les mesures à prendre immédiatement pour sécuriser votre installation.
CVE-2026-60137 et CVE-2026-63030 : que sont ces failles ?
Ces deux vulnérabilités ont été signalées à l’équipe de sécurité WordPress par des chercheurs indépendants et des entreprises spécialisées. Elles touchent respectivement le mécanisme de requêtes SQL et l’API REST de WordPress. Comprendre leur nature est essentiel pour évaluer le risque qu’elles représentent pour votre site.
SQL injection facilitée (CVE-2026-60137)
La première faille, CVE-2026-60137, est une injection SQL facilitée. Elle a été découverte par une équipe de chercheurs (TF1T, dtro et haongo) et permet à un attaquant d’exécuter des commandes SQL arbitraires sur la base de données du site. Concrètement, un utilisateur malveillant peut exploiter cette vulnérabilité pour extraire des informations sensibles, modifier des contenus ou même prendre le contrôle de l’administration. Selon le rapport de l’équipe de sécurité WordPress, cette faille affecte WordPress 6.8 et 6.9, ainsi que la version bêta de 7.1. L’injection SQL reste l’une des techniques d’attaque les plus dangereuses car elle agit directement sur la couche de données.
REST API batch-route confusion et RCE (CVE-2026-63030)
La seconde vulnérabilité, CVE-2026-63030, est plus critique encore. Découverte par Adam Kues chez Assetnote / Searchlight Cyber, elle combine une confusion de route batch dans l’API REST avec une injection SQL, menant à une exécution de code à distance (RCE). En d’autres termes, un attaquant peut envoyer des requêtes malveillantes à l’API REST de WordPress, contourner les contrôles d’authentification et exécuter du code arbitraire sur le serveur. Cette faille permet de prendre le contrôle complet du site sans aucune interaction préalable. Elle affecte WordPress 6.9 et la version bêta de 7.1, mais pas la version 6.8.
« La combinaison d’une confusion de route et d’une injection SQL dans l’API REST de WordPress est particulièrement dangereuse car elle ne nécessite aucune authentification. Nous recommandons une mise à jour immédiate. » - Adam Kues, chercheur en sécurité chez Assetnote.
Quelles versions de WordPress sont concernées ?
Le tableau ci-dessous résume les versions affectées par chaque vulnérabilité et les correctifs disponibles.
| Version de WordPress | CVE-2026-60137 (SQLi) | CVE-2026-63030 (RCE) | Correctif disponible |
|---|---|---|---|
| 6.8 | Oui | Non | WordPress 6.8.6 |
| 6.9 | Oui | Oui | WordPress 6.9.5 |
| 7.1 bêta | Oui | Oui | WordPress 7.1 bêta2 |
| Versions antérieures à 6.8 | Non | Non | Aucun correctif nécessaire (non affecté) |
Il est crucial de noter que les versions antérieures à 6.8 ne sont pas vulnérables, car les failles ont été introduites dans des mises à jour récentes du code. Toutefois, si vous utilisez une version plus ancienne, vous êtes exposé à d’autres risques connus. La mise à jour vers la dernière version stable est toujours recommandée.
Mesures correctives : mettre à jour immédiatement
Face à des vulnérabilités de cette ampleur, la priorité absolue est d’appliquer les correctifs fournis par WordPress. Voici les étapes à suivre.
Mise à jour vers la version patchée
La solution la plus fiable est de mettre à jour votre installation WordPress vers la version corrigée. Selon votre version actuelle :
- Si vous utilisez WordPress 6.8, mettez à jour vers 6.8.6.
- Si vous utilisez WordPress 6.9, mettez à jour vers 6.9.5.
- Si vous testez la bêta de 7.1, passez à la bêta2.
Pour effectuer la mise à jour, connectez-vous à votre tableau de bord, allez dans Tableau de bord > Mises à jour et cliquez sur « Mettre à jour maintenant ». Si le correctif n’apparaît pas automatiquement, vous pouvez télécharger manuellement la dernière version depuis le site officiel de WordPress et remplacer les fichiers via FTP.
En pratique, nous avons observé que de nombreux administrateurs retardent les mises à jour par crainte de problèmes de compatibilité. Toutefois, dans le cas de ces deux vulnérabilités, le risque de compromission est bien supérieur aux éventuels désagréments temporaires. Nous vous conseillons de sauvegarder votre site et votre base de données avant d’appliquer le correctif.
Atténuation temporaire d’urgence
Si vous ne pouvez pas mettre à jour immédiatement, les chercheurs de Searchlight Cyber proposent une mesure d’urgence : bloquer l’accès anonyme à l’API batch de WordPress. Deux méthodes sont possibles :
- Installer une extension qui bloque l’accès anonyme à l’API REST complète. Attention, cette solution peut impacter les fonctionnalités qui utilisent l’API pour les visiteurs non connectés (par exemple, certains formulaires ou plugins).
- Bloquer les routes spécifiques au niveau du pare-feu applicatif (WAF) en ajoutant des règles pour interdire les requêtes vers
/wp-json/batch/v1et?rest_route=/batch/v1.
Voici un exemple de règle pour un serveur Nginx avec un module WAF (comme ModSecurity) :
# Bloquer l'accès anonyme à l'API batch
location ~ ^/wp-json/batch/v1 {
if ($http_cookie !~* "wordpress_logged_in_") {
return 403;
}
}
# Bloquer également la route alternative
location ~ ^/index.php?rest_route=/batch/v1 {
if ($http_cookie !~* "wordpress_logged_in_") {
return 403;
}
}
« Ces mesures d’atténuation sont temporaires. Elles ne remplacent pas une mise à jour complète. Nous vous recommandons de planifier le correctif dès que possible. » - Searchlight Cyber, rapport de sécurité.
Bonnes pratiques de sécurité pour éviter les vulnérabilités WordPress
Au-delà de ces correctifs urgents, adopter une démarche proactive de sécurité permet de réduire les risques futurs. Voici quelques recommandations éprouvées, issues de l’expérience terrain et des guides de l’ANSSI.
- Maintenez WordPress à jour : activez les mises à jour automatiques pour les versions mineures de sécurité. Vérifiez régulièrement les versions majeures.
- Auditez vos extensions et thèmes : supprimez ceux qui ne sont plus maintenus. Utilisez uniquement des sources officielles.
- Utilisez un pare-feu applicatif (WAF) : il bloque les requêtes malveillantes avant qu’elles n’atteignent votre site.
- Renforcez l’authentification : activez l’authentification à deux facteurs (2FA) pour tous les comptes administrateurs.
- Surveillez les journaux d’accès : configurez des alertes pour détecter des tentatives d’exploitation de l’API REST.
- Appliquez le principe du moindre privilège : limitez les droits des comptes utilisateurs aux seules actions nécessaires.
- Réalisez des sauvegardes régulières : stockez-les hors ligne ou sur un serveur distinct.
Selon une étude de Sucuri en 2025, 73 % des sites WordPress compromis utilisaient une version obsolète du CMS. Cette statistique souligne l’importance de réagir rapidement face aux annonces de sécurité. L’ANSSI, dans son guide de sécurisation des CMS, insiste sur la nécessité d’une veille sécurité active.
Exemple concret : un site e-commerce français sous WordPress 6.9 a été ciblé par une tentative d’exploitation de CVE-2026-63030 quelques heures après la divulgation publique. Grâce à un WAF configuré pour bloquer les routes batch anonymes, l’attaque a été neutralisée avant que l’administrateur n’applique le correctif. Ce cas montre l’efficacité d’une défense en profondeur.
Conclusion : agissez sans attendre
Les deux vulnérabilités WordPress présentées dans cet article représentent une menace sérieuse pour tout site utilisant une version 6.8 ou 6.9. La CVE-2026-63030, en particulier, permet une exécution de code à distance sans authentification, ce qui en fait une faille critique. La seule solution durable est d’appliquer les correctifs des versions 6.8.6, 6.9.5 ou 7.1 bêta2. En attendant, les mesures d’atténuation temporaires peuvent vous protéger, mais elles ne doivent pas retarder la mise à jour.
N’attendez pas que votre site soit compromis. Vérifiez dès maintenant votre version de WordPress, sauvegardez vos données et mettez à jour. La sécurité de votre site et de vos visiteurs en dépend.