Faille critique WordPress : 800 000 sites dans le viseur, une prise de contrôle à distance sans connexion via le plugin WPvivid

800 000 sites WordPress dans le viseur, à cause d’un plugin de sauvegarde hyper populaire. Le nom à retenir: WPvivid Backup & Migration. Une faille critique (CVE-2026-1357) touche les versions jusqu’à 0.9.123 inclus. Et le scénario fait froid dans le dos: un attaquant peut prendre la main sur ton site sans même se connecter. Pas besoin de compte, pas besoin de mot de passe. Juste une porte laissée ouverte.

Prise de contrôle à distance sans login : 800 000 sites WordPress menacés par une faille critique du plugin WPvivid

Ce genre d’alerte, tu en vois passer toutes les semaines. Le truc c’est que là, on parle d’un plugin installé massivement, utilisé pour des backups, des migrations, des environnements de test. Bref, le genre d’outil qu’on installe “pour être tranquille”. Résultat: si tu l’as et que tu n’as pas patché, tu peux te retrouver avec un fichier PHP injecté sur ton serveur, et derrière, un site qui ne t’appartient plus vraiment.

WPvivid jusqu’à 0.9.123: l’attaque sans authentification

La vulnérabilité est décrite comme un upload arbitraire de fichiers sans authentification. Traduit en français de terrain: quelqu’un peut réussir à déposer un fichier sur ton serveur, sans être admin, sans être éditeur, sans rien. Et si ce fichier est un script PHP placé au bon endroit, il peut être exécuté depuis le web. Là, c’est jackpot pour l’attaquant: exécution de code, création de backdoor, récupération de données.

Dans les détails techniques connus, l’exploitation passerait par un paramètre spécifique, wpvivid_action=send_to_site. Si l’instance est mal configurée et que les contrôles sur les chemins de destination ne sont pas stricts, ça ouvre la possibilité d’écrire des fichiers dans des répertoires accessibles publiquement. Le genre de détail que beaucoup d’admins ne regardent jamais, parce que “ça marche”. Sauf que la sécurité, c’est rarement une question de confort.

Ce qui rend l’histoire encore plus sale, c’est la partie crypto: une mauvaise gestion d’erreur lors d’un déchiffrement RSA. Quand la fonction de déchiffrement échoue, elle renverrait une valeur mal interprétée par le mécanisme AES derrière. Conséquence: un attaquant peut générer des clés prévisibles et contourner les protections prévues. On n’est pas sur “un petit bug”, on est sur une fragilité qui aide à forcer le passage.

Et quand on te dit “prise de contrôle totale”, ce n’est pas une formule. Une fois qu’un fichier PHP malveillant tourne, tu peux imaginer la suite: modification de contenu, ajout d’utilisateurs, installation d’autres plugins, redirections, vol de base de données, spam SEO, ou pire, utilisation du site comme point de rebond. Le site a l’air normal, mais en coulisses, quelqu’un d’autre tient le volant.

Pourquoi 800 000 installations, ça fait un carnage potentiel

800 000 installations actives, c’est énorme. C’est le genre de chiffre qui transforme une faille en crise, parce que les attaques deviennent industrielles. Les pirates ne vont pas “chercher ton site” à la main: ils scannent Internet, repèrent des signatures, testent automatiquement, et ils passent au suivant. Si tu es vulnérable, tu peux te faire accrocher en quelques minutes, juste parce que tu es dans la liste.

Le paradoxe, c’est que WPvivid sert à protéger ton activité: sauvegarde, restauration, migration, clonage. C’est utilisé par des freelances, des petites boîtes, des agences, parfois des équipes IT internes. Donc pas seulement des blogs perso. Et si tu bosses avec des environnements de test, tu sais le piège: on clone un site, on laisse traîner, on oublie de mettre à jour, et ce “petit staging” devient une entrée royale.

Il y a aussi un facteur humain qui plombe tout: les mises à jour. Beaucoup de gens repoussent parce qu’ils ont peur de casser le site, parce qu’ils attendent une fenêtre de maintenance, ou parce qu’ils ne veulent pas payer une agence pour “juste cliquer sur update”. Sauf que pendant ce temps, la fenêtre d’attaque reste ouverte. Et plus une extension est populaire, plus elle attire l’attention des attaquants. C’est mécanique.

Et puis WordPress, c’est plus de 40 % du web. Ce chiffre, il explique pourquoi chaque faille dans l’écosystème fait autant de bruit. Le core est plutôt bien suivi, les correctifs sortent vite, mais l’essentiel des emmerdes vient des plugins et des thèmes. Tu peux avoir un WordPress nickel, à jour, et te faire plomber par une extension “pratique” installée il y a deux ans et jamais revisitée.

Le scénario classique: upload PHP, backdoor, puis business

Quand un attaquant arrive à uploader un fichier PHP exécutable, il ne va pas forcément tout casser tout de suite. Souvent, il pose une backdoor discrète. Un petit script planqué, un nom qui ressemble à un fichier système, et il revient quand il veut. Toi, tu vois juste que “le site rame” ou que “le serveur a des pics”. Et tu passes à autre chose, parce que tu as une boîte à faire tourner.

Ensuite, il monétise. Ça peut être du spam SEO (des pages parasites qui poussent des mots-clés), des redirections vers des arnaques, ou l’injection de scripts qui servent à voler des données. Dans d’autres cas, c’est plus “pro”: le site devient une plateforme de diffusion, un relais, une brique dans un botnet. Et si ton WordPress a des formulaires, des comptes, une boutique, la surface est encore plus large.

On a déjà vu des campagnes longues sur WordPress via des plugins non patchés. Un exemple documenté dans l’actu récente: un malware baptisé DollyWay a infecté plus de 20 000 sites entre 2016 et 2025, avant de rediriger les visiteurs vers des plateformes d’arnaques. Le point commun, c’est toujours le même: des portes d’entrée via des plugins laissés en l’état. Ce n’est pas “WordPress est nul”, c’est “WordPress est un écosystème”.

Et le pire, c’est l’effet domino. Tu crois que tu n’as “qu’un site vitrine”, sauf que tu as peut-être des emails qui partent du serveur, des accès à des APIs, des clés de paiement, des comptes admin réutilisés ailleurs. Une compromission WordPress, ce n’est pas juste un problème de pages web. Ça peut devenir un problème de réputation, de délivrabilité, de conformité, et de confiance client.

Ce que tu dois faire aujourd’hui: update, vérifs, et hygiène

La première action est brutale de simplicité: mettre à jour WPvivid. La faille touche les versions jusqu’à 0.9.123 inclus, donc si tu es en dessous ou égal, tu pars du principe que tu es exposé. Et tu ne te contentes pas de “prévoir” la mise à jour. Tu la fais. Si tu as un environnement de préprod, tu testes vite, mais tu ne laisses pas traîner une semaine.

Deuxième étape: vérifier si quelque chose s’est déjà passé. Ce n’est pas parce que tu patches que tu es clean. Si un fichier a été déposé avant, il peut rester. Concrètement, tu regardes les fichiers récemment modifiés, les répertoires où un PHP n’a rien à faire, et tu passes un contrôle d’intégrité si tu as des outils. Si tu as un hébergeur sérieux, demande-lui ce qu’il voit côté logs et alertes.

Troisième point: réduire les dégâts si ça tourne mal. Les sauvegardes, c’est bien, mais il faut qu’elles soient utilisables. Le backup “sur le même serveur”, c’est mieux que rien, mais en cas de compromission, ça peut être chiffré, effacé, ou altéré. L’idéal, c’est d’avoir une copie externe, isolée, avec un historique. Et tu testes une restauration de temps en temps – oui, c’est pénible, mais le jour où ça brûle, tu es content.

Enfin, tu fais le ménage: plugins inutiles supprimés, thèmes non utilisés virés, droits d’accès revus, mises à jour automatiques quand c’est possible, et un minimum de monitoring. Ce n’est pas sexy, ça ne fait pas de trafic, mais c’est ce qui évite de te réveiller avec un site qui redirige vers un casino louche. Si tu bosses en agence, c’est aussi le moment de cadrer ça dans tes contrats de maintenance.

WordPress n’est pas le problème, les plugins mal suivis oui

À chaque faille, tu as la même rengaine: “WordPress, c’est pas sécurisé”. Soyons honnêtes: WordPress est surtout très exposé parce qu’il est partout. Son code est ouvert, audité en continu, et les failles du core sont plutôt rares et corrigées vite, parfois en moins de 48 heures pour les cas critiques. Le vrai champ de mines, c’est la couche au-dessus: extensions et thèmes tiers.

Regarde l’actu récente côté plugins: une vulnérabilité critique a touché Advanced Custom Fields: Extended (ACF Extended), avec plus de 100 000 installations, permettant à un attaquant non authentifié d’obtenir des droits d’administration via une action de formulaire. Un correctif a été publié rapidement, mais une partie des sites restaient vulnérables au moment où l’alerte circulait. Même pattern: patch dispo, adoption lente, scans automatisés qui tournent.

Des organismes de cybersécurité publient aussi des bulletins sur des vulnérabilités critiques dans des plugins WordPress, avec des scénarios qu’on commence à connaître par cur: exécution de code à distance, upload arbitraire de fichiers, compromission totale. Ce n’est pas pour faire peur, c’est pour rappeler que l’écosystème vit au rythme des CVE. Si tu empiles 30 plugins, tu empiles 30 dépendances, 30 surfaces d’attaque, 30 risques de retard de mise à jour.

Le conseil le plus utile, ce n’est pas “panique”. C’est “contextualise”. Une faille “critique” sur le papier peut être moins exploitable sur un site peu exposé, et une faille “moyenne” peut devenir catastrophique selon ta config. Mais dans le cas WPvivid, on parle d’une prise de contrôle sans authentification, sur un plugin très installé. Là, tu ne joues pas au plus malin: tu patches, tu vérifies, et tu te demandes combien de temps tu veux continuer à gérer ton WordPress sans vraie routine de sécurité.