un vieux cadenas rouillé symbolisant un site Wordpress sans maintenance

Les cyberattaques s’amplifient sur WordPress

Les attaques automatisées visant l’écosystème WordPress ont explosé ces dernières années : failles de plugins exploitées en quelques heures, bots qui scannent en continu, injections de malware, cryptojacking ou prises de contrôle. Avec l’essor des bots dopés à l’intelligence artificielle, la tendance ne fera que s’intensifier.

En 2025, nous sommes intervenus sur deux sites e-commerce non maintenus après de graves intrusions :

  • Site A : détournement des paiements vers un compte bancaire frauduleux.
  • Site B : duplication du site envoyant des e-mails d’hameçonnage.

À l’inverse, aucun des sites que nous maintenons n’a connu ce type d’incident. Une maintenance régulière — mises à jour rigoureuses et pare-feu applicatif — réduit drastiquement le risque, limite l’impact opérationnel et diminue les coûts de remise en état.

La vulnérabilité de WordPress.

Quelques chiffres clés de la vulnérabilité

  • 8 223 vulnérabilités publiées dans la base Wordfence en 2024 — soit une augmentation notable par rapport à 2023. (source : wordfence.com)
  • Des centaines de milliers de sites détectés avec malware/redirects (Sucuri — mid-2024). Les infections restent massives côté petites & moyennes structures. (source : Sucuri)
  • Plusieurs milliers de vulnérabilités identifiées chaque année par WPScan / Patchstack (ex. 5 271 vulnérabilités remontées en 2023 par WPScan ; Patchstack et d’autres signalent une hausse régulière). (source : WPScan)
  • ≈90% des vulnérabilités proviennent de plugins (écosystème tiers = principale source de risque). (source : WP Security Ninja)

Quelques exemples de failles exploitées (et corrigées par des mises à jour)

  1. File Manager — RCE (CVE-2020-25213) : vulnérabilité critique exploitée pour installer webshells et miner des ressources (cryptojacking). Les sites non patchés ont été compromis massivement — la mise à jour/retrait du plugin a stoppé l’exploitation. (source : Unit 42)
  2. Contact Form 7 — XSS / upload non restreint : plusieurs corrections (historique) ont empêché des téléversements arbitraires et des scripts injectés via formulaires. Maintenir le plugin à jour évite des escalades d’accès. (source : WPScan)
  3. Post SMTP — faille REST API (CVE 2025-24000) : vulnérabilité permettant à des comptes peu privilégiés d’accéder aux logs mails et d’initier des réinitialisations de mot de passe — corrigée début juin 2025, mais des dizaines de milliers de sites restaient vulnérables longtemps après la publication. Mise à jour immédiate recommandée. (source : TechRadar)

Le pattern est clair : une vulnérabilité publiée est souvent massivement scannée et exploitée dans les heures/jours qui suivent. Les mises à jour réduisent directement ce risque. (source : wordfence.com)

Les impacts d’une cyberattaque

Après plus de 10 ans sur le terrain, voici un retour sur expérience que nous vous partageons.

Scénario A — Site non maintenu (pas de maintenance / pas de pare-feu)

  • Mode d’attaque courant : robots scannent des sites, exploitent un plugin vulnérable → injection de code / webshell.
  • Conséquences probables : redirections malveillantes, impact fortement négatif sur le référencement (SEO blacklist), usurpation d’identité et envoi de spam, vol de données, prise de contrôle admin…
  • Temps d’indisponibilité & coût : restauration (si possible) + nettoyage + procédure de remise en indexation par Google — coûts et délai très variables mais souvent plus élevés que le coût d’une maintenance régulière (heures à jours, parfois semaines).
  • Perte de confiance clients : impact réputationnel durable.

Scénario B — Site maintenu par l’Agence

  • Prévention : mises à jour core/themes/plugins dès leur sortie, mise en place et paramétrage d’un pare-feu bloquant patterns d’exploitation, règle IPS et stop des IPs malveillantes.
  • Résilience : vulnérabilités connues bloquées, failles non corrigées (0-day) partiellement atténuées par règles de pare-feu, + sauvegardes testées et restaurables.
  • Conséquences probables : attaques automatisées bloquées ou contenues — AUCUNE prise de contrôle, récupération rapide si détection de la menace à temps.
  • Coût : abonnement de maintenance prévisible — généralement bien inférieur au coût d’un incident majeur.

Ce que la maintenance Agence Quinze inclut

  • Mises à jour régulières (core, plugins, thèmes)
  • Pare-feu applicatif + règles (WAF, blocage brute force, rate limiting)
  • Remontée d’alerte en cas d’extension payante à renouveler pour cause de faille de sécurité critique
  • Monitoring 24/7 des journaux et tentatives d’exploitation (alertes)
  • Sauvegardes mensuelles stockées hors site + procédure de restauration testée
  • Scan de sécurité mensuel + rapport et plan d’action
  • Application des correctifs critiques
Contactez-nous pour en savoir plus sur notre accompagnement

Sources principales utilisées pour l’article

  • Wordfence — 2024 Annual WordPress Security Report (statistiques vulnérabilités 2024). wordfence.com
  • Sucuri — SiteCheck / mid-year 2024 report (volume d’infections détectées). Sucuri
  • WPScan / WPScan 2023 Website Threat Report (vulnérabilités identifiées). WPScan
  • WP Security Ninja / synthèses (répartition vulnérabilités : majorité plugins). WP Security Ninja
  • TechRadar (reportage / synthèse sur Post SMTP — CVE 2025-24000). TechRadar
  • Analyses techniques (ex. Palo Alto / Tenable) sur des CVE connues comme File Manager RCE.
1920 1280 Agence Quinze
Partager cet article
Article précédent
L’UX et le SEO
Close