WordPress alimente près de la moitié du web, ce qui en fait la plateforme la plus ciblée sur Internet. En 2025, le paysage des menaces a évolué de manière à rendre la plupart des stratégies de sécurité conventionnelles insuffisantes. Le nombre de vulnérabilités a grimpé en flèche, les délais d'exploitation se sont réduits à quelques heures, et les attaquants ont déployé des logiciels malveillants de plus en plus sophistiqués conçus pour survivre aux tentatives de nettoyage.
Cet aperçu s'appuie sur des données de sécurité de 2025 pour aider les propriétaires de sites WordPress et WooCommerce à comprendre les risques réels auxquels leurs sites sont confrontés et les mesures pratiques qu'ils peuvent prendre pour combler les lacunes.
Les chercheurs en sécurité ont identifié 11 334 nouvelles vulnérabilités dans l'écosystème WordPress en 2025, soit une augmentation de 42 % par rapport à l'année précédente. Parmi celles-ci, 4 124 étaient suffisamment graves pour nécessiter une atténuation active, et 1 966 présentaient une cote de gravité élevée, indiquant une forte probabilité d'exploitation automatisée à grande échelle.
Pour mettre cela en perspective, plus de vulnérabilités de haute gravité ont été découvertes dans WordPress en 2025 qu'au cours des deux années précédentes réunies. Ce n'est pas une tendance graduelle. Cela représente une accélération significative de l'attention des attaquants envers l'écosystème WordPress.
Les plugins représentaient 91 % de toutes les vulnérabilités nouvellement signalées. Les thèmes représentaient les 9 % restants. Le cœur de WordPress lui-même n'a signalé que six problèmes, tous de faible priorité.
Cette répartition renforce une réalité simple : le logiciel principal n'est pas le problème. Le risque réside dans les composants tiers superposés, et la plupart des sites WordPress en utilisent des dizaines.
Non. Les composants premium présentent souvent un angle mort plus dangereux que leurs homologues gratuits.
Des chercheurs en sécurité ont mené une analyse ciblée des composants de marketplaces premium, y compris ceux distribués via Envato. Les résultats étaient significatifs :
La raison n'est pas que les plugins premium sont développés avec plus d'insouciance. C'est parce que les chercheurs en sécurité ont un accès limité aux logiciels payants, donc moins d'yeux examinent le code. Un examen moins approfondi ne signifie pas un risque moindre. Cela signifie une moindre conscience du risque existant.
Seulement 54 %. En 2025, 46 % des vulnérabilités signalées n'ont pas été corrigées par le développeur du plugin avant leur divulgation publique. Cela signifie que les détails de la vulnérabilité sont devenus publics et, dans de nombreux cas, étaient immédiatement disponibles pour les attaquants avant que des correctifs ne soient disponibles pour les propriétaires de sites.
S'appuyer sur les mises à jour des plugins comme mesure de sécurité principale est généralement insuffisant, car près de la moitié des vulnérabilités divulguées n'ont pas de correctif disponible.
Plus rapide que ce que permettent la plupart des calendriers de mise à jour. Pour les vulnérabilités les plus ciblées, le temps médian pondéré entre la divulgation publique et l'exploitation active était de cinq heures.
Environ la moitié de toutes les vulnérabilités à fort impact étaient exploitées dans les 24 heures suivant leur divulgation. Cette fenêtre couvre une période où la plupart des administrateurs de sites ignorent le problème ou n'ont pas encore eu l'occasion d'appliquer un correctif disponible.
Les premières 24 heures suivant la divulgation d'une vulnérabilité représentent généralement la fenêtre de risque la plus élevée pour un site WordPress. Sans mesures d'atténuation automatisées, la plupart des sites sont exposés pendant exactement cette période.
Le contrôle d'accès non autorisé est arrivé en tête de la liste des catégories de vulnérabilités exploitées en 2025. Cette catégorie est particulièrement difficile à défendre car les attaques imitent le comportement normal d'un utilisateur authentifié. Il n'y a pas de chaînes d'injection évidentes ou de requêtes malformées qu'un pare-feu d'application Web traditionnel pourrait intercepter.
Les autres classes de vulnérabilités fortement exploitées comprenaient :
Les plugins liés à WooCommerce sont apparus dans le top dix des listes les plus ciblées, y compris une vulnérabilité d'escalade de privilèges de WooCommerce Payments de 2023 qui était toujours activement ciblée contre des installations non corrigées.
Pas assez efficace. Les tests de pénétration menés auprès de plusieurs fournisseurs d'hébergement en 2025 ont révélé que les configurations défensives standard, y compris les WAF internes et Cloudflare, ne bloquaient que 26 % des tentatives d'exploitation de vulnérabilités WordPress. Plus précisément, contre les vulnérabilités connues exploitées, le taux de blocage tombait à 12 %.
Les performances variaient considérablement selon les environnements d'hébergement, en grande partie en raison de la configuration des règles WAF internes. Les règles WAF génériques fonctionnent raisonnablement bien contre les attaques non spécifiques à WordPress, mais sont mal adaptées aux classes de vulnérabilités spécifiques à WordPress, qui représentent la majorité de l'activité d'exploitation réelle.
Le comportement post-compromission en 2025 est devenu plus sophistiqué et plus difficile à corriger. L'analyse de milliards d'infections par des logiciels malveillants sur l'infrastructure d'hébergement mondiale a révélé des changements clairs dans la manière dont les attaquants opèrent une fois qu'ils ont accès à un site.
Les attaquants privilégient de plus en plus les fichiers injectés par rapport aux fichiers malveillants autonomes. Un fichier injecté est un fichier de base WordPress, un fichier de plugin ou un fichier de thème légitime qui a été modifié pour contenir du code malveillant. Étant donné que le fichier de base est légitime, les outils d'analyse basés sur la suppression le signalent de manière incohérente ou le manquent entièrement.
La suppression des logiciels malveillants injectés nécessite d'identifier et de nettoyer chirurgicalement l'extrait malveillant d'un fichier par ailleurs valide. La suppression du fichier lui-même casse le site. Cette distinction oblige à un changement significatif dans la manière dont les outils de remédiation doivent fonctionner.
Oui. Les activités de téléversement de fichiers malveillants ont presque triplé en novembre et décembre 2025. Cette augmentation n'est pas une coïncidence. Le quatrième trimestre combine un trafic client maximal avec une réduction du personnel informatique, créant un environnement où les attaquants peuvent opérer avec moins de risques de détection ou de réponse immédiate. Les propriétaires de boutiques WooCommerce qui mènent des promotions de fin d'année actives opèrent dans la fenêtre de risque la plus élevée de l'année, souvent avec le moins de ressources internes disponibles pour réagir.
Les campagnes de logiciels malveillants les plus répandues partageaient un objectif de conception commun : éviter la détection le plus longtemps possible. Trois modèles d'évasion étaient particulièrement répandus.
Livraison de contenu sélective
Les campagnes, y compris le spam SEO japonais, jgalls et Parrot TDS, servent un contenu différent selon la personne qui fait la demande. Les robots d'exploration des moteurs de recherche reçoivent du spam bourré de mots-clés pour manipuler les classements. Les visiteurs humains sont redirigés vers des pages de phishing ou des vitrines frauduleuses. Les propriétaires de sites et les scanners voient généralement un contenu propre. L'infection reste invisible jusqu'à ce que les clients commencent à se plaindre ou que le trafic de recherche organique s'effondre.
Parrot TDS a étendu cette technique en 2025 en détectant les robots d'entraînement d'IA, y compris ceux d'OpenAI et de Google. Un contenu propre est servi aux robots tandis que des redirections malveillantes continuent de rediriger les visiteurs humains, rendant la détection par audit automatisé encore moins fiable.
Persistance en mémoire
La famille de logiciels malveillants Lock360 exécute du code malveillant directement dans la mémoire du serveur au lieu de le stocker dans des fichiers. Lorsqu'un administrateur nettoie un fichier infecté, tel que index.php ou .htaccess, le processus résident en mémoire réécrit immédiatement le code malveillant. Les équipes de support se retrouvent souvent dans un cycle continu de nettoyage et de réinfection jusqu'à ce que le processus sous-jacent en mémoire soit terminé, ce que la plupart des outils d'analyse standard ne sont pas équipés pour gérer.
Expansion de l'infrastructure de téléversement
L'activité des scripts uploader a presque doublé en volume en juin 2025 et est restée élevée jusqu'à la fin de l'année. Les uploaders sont des outils qui permettent aux attaquants de déployer des charges utiles supplémentaires sur un site compromis à volonté. Leur augmentation soutenue signale un changement stratégique vers un accès persistant plutôt qu'une exploitation ponctuelle. Un site nettoyé d'une infection peut être réinfecté par un uploader dormant qui a survécu au nettoyage.
Plusieurs tendances convergent pour faire Sécurité WordPress plus complexe, pas moins.
Le développement assisté par l'IA accélère la production de plugins personnalisés. Les agences génèrent des fonctionnalités de plugins à la demande et déploient des front-ends générés par l'IA construits avec React tout en utilisant WordPress comme CMS backend. Cela élargit la surface d'attaque bien au-delà de la portée traditionnelle du cœur, des plugins et des thèmes. Les composants codés sur mesure, les packages JavaScript et les dépendances PHP introduisent tous une exposition à la sécurité que les outils d'analyse WordPress standard ne sont pas conçus pour évaluer.
Dans le même temps, l'IA abaisse la barrière pour que les attaquants découvrent et exploitent de manière autonome les vulnérabilités. Les mêmes outils utilisés pour construire des sites plus rapidement sont également utilisés pour trouver et exploiter leurs faiblesses.
Sur le plan réglementaire, le Cyber Resilience Act de l'UE pousse les fournisseurs de plugins WordPress commerciaux à établir des programmes formels de divulgation des vulnérabilités comme exigence légale pour distribuer des logiciels aux utilisateurs européens. La plupart des développeurs de plugins ne disposent pas actuellement des ressources internes nécessaires pour gérer un volume élevé de rapports de sécurité entrants. Ce manque créera des frictions entre l'identification des vulnérabilités et la disponibilité des correctifs, une période qui comporte déjà des risques importants sur la base des données d'exploitation de 2025.
Les données de 2025 clarifient plusieurs points pour quiconque gère une boutique WooCommerce.
Les fondamentaux de la sécurité WordPress n'ont pas changé : maintenez les logiciels à jour, limitez la prolifération des plugins et utilisez des identifiants forts. Ce qui a changé, c'est que ces mesures ne suffisent plus à elles seules.
Les délais d'exploitation ont été réduits à quelques heures. Les malwares sont conçus pour survivre à un nettoyage standard. Les plugins premium comportent des risques cachés. Et la surface d'attaque d'un site WordPress typique s'élargit à mesure que les composants générés par l'IA entrent dans la pile.
La sécurité WordPress efficace en 2026 nécessite une atténuation automatisée des vulnérabilités qui s'active dans les premières heures suivant leur divulgation, une détection de logiciels malveillants au niveau du serveur capable d'identifier le code injecté et les menaces résidentes en mémoire, ainsi qu'une visibilité claire sur chaque composant exécuté sur le site, qu'il soit installé via le panneau d'administration ou généré par un développement personnalisé.
Les sites qui traitent la sécurité comme un processus proactif et continu seront dans une position nettement meilleure que ceux qui s'appuient sur des nettoyages périodiques après qu'un problème survient.
