En 2024, WordPress propulse plus de 43 % des sites web dans le monde. Mais derrière cette domination se cache une réalité plus sombre : près de 80 % des sites WordPress sont vulnérables à des attaques. Pourquoi un CMS aussi populaire est-il aussi exposé ? Spoiler : ce n’est pas (seulement) la faute de WordPress lui-même.
Explosion des vulnérabilités dans l’écosystème WordPress
L’explosion des vulnérabilités dans l’écosystème WordPress en 2024 s’explique principalement par l’extension massive du nombre de plugins, souvent développés sans rigueur sécuritaire, et par une meilleure détection des failles grâce à des outils avancés. Ce phénomène ne signifie pas que WordPress lui-même est devenu intrinsèquement dangereux, mais souligne la nécessité d’une gestion rigoureuse des extensions et d’une mise à jour régulière pour limiter les risques. Le cœur du CMS reste robuste, mais la multiplication des points d’entrée via les plugins constitue la principale source de vulnérabilités.
Ce tableau et cette analyse reposent principalement sur les rapports de Patchstack et les synthèses récentes sur la sécurité WordPress en 2024-2025
Tableau : État des vulnérabilités WordPress en 2024
Ce tableau synthétise les principales données de sécurité WordPress relevées par Patchstack pour l’année 2024.
| Aspect | Données / Informations clés | Commentaires |
|---|---|---|
| Nombre total de vulnérabilités en 2024 | Plus de 7 900 failles identifiées (7 966 selon Patchstack) | Environ 22 nouvelles vulnérabilités découvertes chaque jour, soit une hausse de 34 % par rapport à 2023 |
| Répartition des vulnérabilités | – 96 % dans les plugins – 4 % dans les thèmes – 0,001 % dans le cœur de WordPress |
Le cœur de WordPress reste solide et bien sécurisé, les failles proviennent majoritairement des extensions |
| Nature des vulnérabilités | – 47,7 % XSS (cross-site scripting) – 14,19 % contrôle d’accès insuffisant – 11,35 % CSRF (falsification de requêtes) |
Les failles XSS sont les plus fréquentes, exposant à des attaques de scripts malveillants |
| Gravité des vulnérabilités | – 69,6 % peu susceptibles d’être exploitées – 18,8 % exploitables dans des attaques ciblées – 11,6 % exploitées ou exploitables |
Plus des deux tiers des failles sont de gravité faible à moyenne, un tiers est critique ou élevée |
| Niveau de privilège requis pour exploitation | – 43 % exploitables sans authentification – 43 % avec faibles privilèges (contributeur, abonné) – 12 % avec privilèges élevés (admin, éditeur) |
Une grande partie des failles peut être exploitée facilement, même sans compte ou avec des droits limités |
| Origine des failles | Majoritairement dans les plugins, souvent développés par indépendants ou petites équipes sans expertise poussée en sécurité | L’expansion massive des plugins multiplie la surface d’attaque, avec beaucoup de plugins mal sécurisés ou abandonnés |
| Plugins populaires affectés | 1 018 failles dans des plugins avec plus de 100 000 installations, dont 115 dans des plugins avec plus d’1 million d’installations | Même les plugins très populaires et largement utilisés ne sont pas exempts de vulnérabilités |
| Taux de correction des failles | 33 % des failles découvertes en 2024 n’étaient pas corrigées au moment de leur divulgation publique | La réactivité des développeurs pour corriger les failles reste un enjeu majeur |
| Facteurs aggravants | – Croissance rapide de l’écosystème (plus de 59 000 plugins disponibles) – Nouveaux plugins souvent peu sécurisés – Outils d’analyse de vulnérabilités plus performants, incluant l’IA |
Plus de code et de fonctionnalités signifie plus de portes d’entrée potentielles pour les attaques |
Les plugins : talon d’Achille de WordPress
Le cœur de WordPress est relativement sécurisé : seulement 4 % des failles lui sont attribuées. En revanche, les plugins représentent 90 % des vulnérabilités, et les thèmes 6 %. Le problème ? 52 % des failles sont dues à des plugins non mis à jour.
Imaginez un site e-commerce utilisant WooCommerce, mais dont les extensions n’ont pas été mises à jour depuis des mois. En mars 2025, un tel site a été compromis via une faille XSS, permettant à un pirate d’injecter du code malveillant et de détourner les paiements clients. Une simple mise à jour aurait suffi à éviter le drame.
Les types d’attaques les plus fréquents
Les pirates ne manquent pas d’imagination, mais certaines attaques reviennent en boucle :
- XSS (Cross-Site Scripting) : 39 à 50 % des cas. Permet d’injecter du code malveillant dans les pages web.
- CSRF (Cross-Site Request Forgery) : 15 %. Exploite la session d’un utilisateur connecté pour exécuter des actions à son insu.
- SEO Spam : 55,4 %. Injecte des liens ou du contenu pour manipuler les moteurs de recherche.
- Malware injecté : 34,14 %. Installe des logiciels malveillants sur le serveur.
Chaque jour, environ 13 000 sites WordPress sont piratés. Et ce chiffre ne cesse d’augmenter.
Pourquoi les sites restent vulnérables malgré les outils
Les outils de sécurité ne manquent pas : Wordfence, SecuPress, Patchstack… Tous proposent des fonctionnalités avancées : pare-feu, double authentification, détection automatique des failles, sauvegardes automatisées. Pourtant, beaucoup de sites n’en profitent pas.
Pourquoi ? Par manque de maintenance. Trop de propriétaires de sites installent WordPress, ajoutent quelques plugins, puis… oublient. Résultat : des extensions obsolètes, des failles non corrigées, et une porte grande ouverte aux attaques.
Les plugins populaires : cibles privilégiées
Les pirates ne s’attaquent pas au hasard. Ils ciblent les plugins les plus utilisés, car une faille dans un plugin populaire peut compromettre des milliers de sites en un clin d’œil. En mars 2025, 147 vulnérabilités ont été découvertes en une seule semaine dans 125 plugins et 7 thèmes.
Heureusement, les éditeurs réagissent plus vite : sur 228 vulnérabilités publiées début 2025, 97 avaient déjà un correctif disponible. Mais encore faut-il que les utilisateurs fassent les mises à jour…
Automatisation, IA et bonnes pratiques : les solutions existent
La bonne nouvelle ? Il est possible de sécuriser efficacement son site WordPress. Voici quelques bonnes pratiques :
- Activer les mises à jour automatiques pour le cœur, les plugins et les thèmes.
- Installer un plugin de sécurité comme SecuPress ou Wordfence.
- Mettre en place une authentification à double facteur.
- Faire des sauvegardes régulières (et les tester !).
- Surveiller les vulnérabilités connues via des outils comme Patchstack ou WPScan.
Les outils dopés à l’IA permettent aujourd’hui de détecter des failles en temps réel, de bloquer les attaques avant qu’elles ne fassent des dégâts, et même de proposer des correctifs automatiques. Mais sans une veille active, ces outils restent sous-utilisés.
Un écosystème en pleine mutation
WordPress évolue, et avec lui, les menaces. Mais aussi les défenses. En 2023, Wordfence a bloqué 3 millions d’attaques via son pare-feu. En 2022, ce chiffre atteignait 159 milliards. La tendance est claire : les outils deviennent plus intelligents, mais les attaques aussi.
Sur notre comparatif WordPress vs Wix, on évoque déjà les différences de sécurité entre les deux plateformes. WordPress offre plus de liberté, mais aussi plus de responsabilités.
En résumé : pourquoi 80 % des sites WordPress sont vulnérables
La vulnérabilité de 80 % des sites WordPress s’explique par :
- La dépendance aux plugins tiers.
- Le manque de mises à jour régulières.
- La croissance rapide de l’écosystème.
- La diversité des développeurs (et de leur niveau de compétence).
Mais tout n’est pas perdu. Avec une maintenance rigoureuse, des outils de sécurité performants et une veille constante, il est tout à fait possible de garder son site WordPress à l’abri.
Pour aller plus loin, découvrez notre article sur les meilleurs plugins WordPress en 2025 car bien choisir ses extensions, c’est déjà sécuriser son site.
Pour approfondir le sujet, consultez également cet excellent article de référence sur le blog de Wordfence.
Pour en savoir plus, visitez www.2lkatime.com.
0 commentaire