Deux vulnérabilités WordPress critiques : mettez à jour immédiatement votre site
Aurélien Fontevive
Près de 43 % des sites web dans le monde fonctionnent sous WordPress. Pourtant, deux vulnérabilités de sécurité viennent d’être découvertes dans les versions récentes du CMS, exposant potentiellement des millions d’installations à des attaques par injection SQL et exécution de code à distance. Le 18 juillet 2026, WordPress a publié la version 7.0.2 pour corriger ces failles. Découvrez dans cet article les détails techniques, les versions concernées et les mesures à prendre sans délai pour protéger votre site.
WordPress 6.9 et 6.8 concernées par deux vulnérabilités graves
Deux failles de sécurité ont été rapportées à l’équipe de sécurité WordPress. La première, identifiée sous le code CVE-2026-60137, est une injection SQL facilitée. La seconde, CVE-2026-63030, combine une confusion de route dans l’API REST avec une injection SQL, permettant une exécution de code à distance (RCE). Ces vulnérabilités affectent les versions 6.9 et 6.8 de WordPress, ainsi que la version bêta 7.1. Les versions antérieures à 6.8 ne sont pas vulnérables.
Selon les chercheurs de Searchlight Cyber, plus de 2 millions de sites pourraient être exposés si la mise à jour n’est pas appliquée rapidement. L’urgence est maximale : un attaquant non authentifié peut exploiter ces failles pour prendre le contrôle complet du serveur.
CVE-2026-60137 - Injection SQL facilitée
Cette vulnérabilité, découverte par une équipe de chercheurs (TF1T, dtro et haongo), permet à un attaquant d’injecter des requêtes SQL malveillantes dans la base de données du site. Elle est qualifiée de facilitée car son exploitation ne nécessite pas de privilèges élevés. En pratique, un pirate peut ainsi extraire des informations sensibles (identifiants, emails, mots de passe hashés) ou modifier le contenu de la base.
« Cette faille illustre l’importance de durcir les requêtes préparées et de valider toutes les entrées utilisateur », explique l’équipe de sécurité WordPress dans son rapport.
CVE-2026-63030 - Confusion de route API et injection SQL menant à une exécution de code à distance
Découverte par Adam Kues d’Assetnote (Searchlight Cyber), cette vulnérabilité est la plus dangereuse. Elle exploite une confusion dans le routage des requêtes batch de l’API REST de WordPress. En combinant cette confusion avec une injection SQL, un attaquant peut exécuter des commandes arbitraires sur le serveur, sans aucune authentification. Cela signifie qu’un simple visiteur peut transformer votre site en porte d’entrée vers votre infrastructure.
« Ce type de vulnérabilité permet à un attaquant non authentifié d’exécuter des commandes arbitraires sur le serveur », précise Adam Kues dans son avis de sécurité.
Tableau des versions affectées
| Version WordPress | Concernée par CVE-2026-60137 | Concernée par CVE-2026-63030 | Correctif disponible |
|---|---|---|---|
| 6.9 | Oui | Oui | 6.9.5 |
| 6.8 | Oui | Non | 6.8.6 |
| 7.1 bêta | Oui | Oui | 7.1 bêta 2 |
| Avant 6.8 | Non | Non | Aucun (non vulnérable) |
Remarque : La version 7.0.2 (stable) contient également les correctifs pour les deux vulnérabilités.
Mesures d’urgence avant la mise à jour
Si vous ne pouvez pas appliquer immédiatement le correctif, les chercheurs de Searchlight Cyber recommandent deux mesures temporaires pour limiter les risques :
- Bloquer l’accès anonyme à l’API batch en installant un plugin qui désactive l’API REST pour les visiteurs non connectés. Par exemple, le plugin Disable REST API peut être configuré pour n’autoriser que les utilisateurs authentifiés.
- Bloquer les routes spécifiques via un pare-feu applicatif (WAF) : interdire les requêtes vers
/wp-json/batch/v1et?rest_route=/batch/v1. Cela peut être fait via les règles du WAF de votre hébergeur, ou via un fichier.htaccesssi vous utilisez Apache.
Ces solutions sont des palliatifs temporaires : elles peuvent impacter le fonctionnement normal de votre site (notamment pour les plugins qui utilisent l’API batch). Il est donc impératif de planifier la mise à jour dans les plus brefs délais.
Exemple de règle WAF pour Apache (htaccess)
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/wp-json/batch/ [NC,OR]
RewriteCond %{QUERY_STRING} rest_route=/batch/ [NC]
RewriteRule ^ - [F,L]
⚠️ Testez cette règle avant de l’activer en production pour éviter de bloquer des fonctionnalités légitimes.
Comment appliquer le correctif WordPress 7.0.2
La mise à jour vers WordPress 7.0.2 (ou 6.9.5 / 6.8.6 selon votre version) est la seule solution fiable. Voici la procédure recommandée :
- Sauvegardez votre site : base de données, fichiers, thème et plugins. Utilisez un plugin de sauvegarde fiable (UpdraftPlus, BackWPup) ou effectuez une sauvegarde manuelle via FTP et phpMyAdmin.
- Testez la mise à jour sur un environnement de staging si possible, pour vérifier la compatibilité de vos plugins et thèmes.
- Mettez à jour WordPress : connectez-vous à votre admin, allez dans Tableau de bord > Mises à jour, puis cliquez sur Mettre à jour maintenant. Vous pouvez aussi télécharger la dernière version depuis WordPress.org et l’installer manuellement.
- Vérifiez le bon fonctionnement : parcourez les pages principales, testez les formulaires, les connexions utilisateur, et assurez-vous que l’API REST fonctionne correctement.
- Supprimez les mesures temporaires (règles WAF, plugin de blocage) une fois la mise à jour effectuée.
Conseil : Activez les mises à jour automatiques pour les versions mineures de sécurité dans votre fichier
wp-config.php:define('WP_AUTO_UPDATE_CORE', 'minor');
Conclusion : agir sans attendre
Les deux vulnérabilités CVE-2026-60137 et CVE-2026-63030 représentent une menace sérieuse pour tous les sites utilisant WordPress 6.8, 6.9 ou 7.1 bêta. L’injection SQL facilitée et surtout la RCE via l’API batch exposent votre site à des attaques automatisées. Ne tardez pas : la mise à jour vers la version 7.0.2 (ou les correctifs 6.9.5 / 6.8.6) est la seule mesure efficace. Conformément aux recommandations de l’ANSSI et aux bonnes pratiques de sécurité, maintenez toujours votre CMS, vos plugins et vos thèmes à jour. En cas de doute, faites appel à un expert en sécurité WordPress.
N’attendez pas que votre site soit compromis : mettez à jour dès maintenant.