Deux vulnérabilités WordPress critiques et graves : mettez à jour immédiatement !
Hippolyte Valdegré
Le 18 juillet 2026, l’équipe de sécurité WordPress a publié une mise à jour urgente corrigeant deux vulnérabilités majeures affectant des centaines de millions de sites. La première (CVE-2026-60137), qualifiée de critique, permet une injection SQL facilitée, tandis que la seconde (CVE-2026-63030), de sévérité élevée, combine une confusion de route dans l’API batch avec une injection SQL, ouvrant la voie à une exécution de code à distance (RCE). Selon les chercheurs d’Assetnote et Searchlight Cyber, ces failles pourraient être exploitées en masse. Si vous utilisez WordPress 6.9, 6.8 ou la bêta 7.1, votre site est potentiellement vulnérable. Ce guide détaille chaque vulnérabilité, les versions concernées, les mesures d’atténuation d’urgence et les bonnes pratiques pour sécuriser durablement votre installation.
Des failles SQLi et RCE menacent des millions de sites WordPress
WordPress propulse plus de 43 % des sites web mondiaux, ce qui en fait une cible privilégiée pour les attaquants. La publication de deux vulnérabilités simultanées, dont une critique, représente un risque systémique. L’injection SQL (SQLi) permet à un attaquant de manipuler la base de données du site - lecture, modification, suppression de données sensibles comme les mots de passe hachés, les adresses e-mail ou les tokens de session. L’exécution de code à distance (RCE) va encore plus loin : l’attaquant peut exécuter des commandes arbitraires sur le serveur, compromettant totalement le site et potentiellement l’infrastructure hôte.
« Ces vulnérabilités sont particulièrement dangereuses car elles peuvent être enchaînées : la faille SQLi facilite l’obtention de données nécessaires à la seconde attaque RCE », explique Adam Kues, chercheur chez Assetnote qui a découvert CVE-2026-63030. Dans un contexte où les réglementations comme le RGPD imposent une protection renforcée des données personnelles, une telle brèche expose les propriétaires de sites à des sanctions financières et à une perte de confiance.
La mise à jour vers WordPress 6.9.5 ou 6.8.6 est la seule solution définitive. En attendant, des mesures temporaires peuvent limiter l’exposition.
Détail des vulnérabilités : CVE-2026-60137 et CVE-2026-63030
Chaque faille a été signalée de manière responsable à l’équipe WordPress, qui a travaillé avec les chercheurs pour produire un correctif dans des délais serrés. Voici leur description technique.
CVE-2026-60137 : Injection SQL facilitée
Cette vulnérabilité critique, rapportée par les chercheurs TF1T, dtro et haongo, exploite une faiblesse dans la gestion des requêtes SQL de WordPress. Un attaquant non authentifié peut injecter des commandes SQL malveillantes via des paramètres spécifiques de l’API REST. Aucune interaction utilisateur n’est nécessaire, ce qui en fait un vecteur d’attaque automatisable à grande échelle.
Impact : lecture de l’intégralité de la base de données, y compris les hachages de mots de passe, les clés secrètes, les options de configuration. Dans certains cas, l’injection peut être utilisée pour créer des comptes administrateurs ou modifier le contenu du site.
« Cette faille est un cauchemar pour la sécurité des sites WordPress car elle ne nécessite aucun privilège préalable », commente l’équipe de sécurité WordPress dans son bulletin.
CVE-2026-63030 : Confusion de route batch API menant à une exécution de code à distance
Découverte par Adam Kues, cette vulnérabilité de haute sévérité tire parti d’une confusion entre les routes de l’API batch (/wp-json/batch/v1). Un attaquant peut envoyer des requêtes malformées qui sont interprétées par WordPress comme des actions légitimes, provoquant une injection SQL puis une exécution de code PHP arbitraire. La combinaison des deux vecteurs rend l’attaque particulièrement redoutable.
Impact : prise de contrôle complète du site WordPress, possibilité de déployer des shells webs, d’exfiltrer des fichiers sensibles, ou d’utiliser le serveur comme point d’appui pour des attaques ultérieures.
Quelles versions de WordPress sont concernées ?
Le tableau ci-dessous résume les versions affectées et les correctifs disponibles.
| Version WordPress | Vulnérabilité(s) concernée(s) | Correctif disponible |
|---|---|---|
| 6.9 (et antérieures 6.9.x) | CVE-2026-60137 et CVE-2026-63030 | Mise à jour vers 6.9.5 |
| 6.8 (y compris 6.8.x) | CVE-2026-60137 uniquement | Mise à jour vers 6.8.6 |
| 7.1 beta1 | CVE-2026-60137 et CVE-2026-63030 | Mise à jour vers 7.1 beta2 |
| Versions antérieures à 6.8 | Aucune | Non concernées (mais mise à jour vers la dernière version stable recommandée) |
Si vous utilisez WordPress 6.9 ou 6.8, vous devez appliquer le correctif sans délai. Les versions antérieures à 6.8 ne sont pas affectées, mais il est fortement conseillé de migrer vers une version maintenue pour bénéficier des correctifs de sécurité antérieurs.
Mesures d’atténuation temporaires en urgence
Si la mise à jour complète n’est pas immédiatement possible, les chercheurs de Searchlight Cyber recommandent deux contournements temporaires. Ces mesures ne remplacent pas un correctif et peuvent impacter certaines fonctionnalités légitimes de votre site.
Bloquer l’accès anonyme à l’API REST en totalité : installez un plugin qui désactive l’accès non authentifié à l’API REST. Plusieurs extensions gratuites existent, mais testez-les au préalable pour éviter de casser des fonctionnalités essentielles (notamment les appels AJAX de thèmes ou de plugins).
Bloquer les routes batch au niveau du pare-feu applicatif (WAF) : ajoutez des règles qui rejettent les requêtes vers
/wp-json/batch/v1ou contenant?rest_route=/batch/v1. Voici un exemple de règle pour un serveur Nginx avec un module WAF intégré :
location ~ ^/wp-json/batch/v1 {
deny all;
return 403;
}
if ($args ~* "rest_route=/batch/v1") {
return 403;
}
Attention : certaines extensions ou thèmes utilisent légitimement l’API batch pour des opérations en masse (mises à jour groupées, synchronisations). Bloquer cette route peut entraîner des dysfonctionnements. Testez dans un environnement de staging avant d’appliquer en production.
Comment sécuriser votre site WordPress dès maintenant ?
La meilleure protection reste une mise à jour rapide et une hygiène de sécurité continue. Voici les actions prioritaires.
Mettre à jour immédiatement
Connectez-vous à votre tableau de bord WordPress et vérifiez les mises à jour. WordPress 6.9.5 et 6.8.6 sont disponibles. Si vous utilisez WordPress 6.9, la mise à jour est critique car elle corrige les deux vulnérabilités. N’attendez pas : planifiez une fenêtre de maintenance dès aujourd’hui.
- Sauvegardez votre base de données et vos fichiers (via un plugin ou manuellement).
- Activez le mode maintenance (optionnel mais recommandé).
- Lancez la mise à jour via le tableau de bord ou wp-admin/update-core.php.
- Vérifiez le bon fonctionnement de votre site après la mise à jour.
Bloquer l’accès anonyme à l’API batch
Si vous ne pouvez pas mettre à jour immédiatement, appliquez la règle WAF mentionnée ci-dessus. Assurez-vous que votre hébergeur permet la modification des fichiers de configuration (Nginx, Apache, etc.). En environnement partagé, contactez le support technique pour ajouter la règle.
Leçons pour la sécurité des CMS : pourquoi une veille active est cruciale
Cet incident rappelle que WordPress, malgré sa maturité, est régulièrement la cible de vulnérabilités critiques. Selon le rapport annuel 2025 de l’ANSSI, les CMS représentent 23 % des incidents de sécurité recensés en France, dont 70 % liés à des versions non maintenues. La veille de sécurité n’est pas une option : elle doit être intégrée dans le cycle de vie du site.
En pratique, nous observons que de nombreux sites professionnels négligent les mises à jour mineures, les jugeant non urgentes. Or, une faille comme CVE-2026-60137 peut être exploitée en quelques heures après la divulgation publique. L’utilisation d’un outil de surveillance (comme WPScan ou un plugin de sécurité) permet d’être alerté dès la publication d’un correctif.
« La rapidité d’application des patchs est le facteur le plus discriminant entre un site compromis et un site sain », rappelle l’équipe de Searchlight Cyber dans son analyse.
Conseil : abonnez-vous aux flux RSS de sécurité (comme celui de Help Net Security ou le blog officiel de WordPress) et activez les notifications de mise à jour automatiques pour les versions mineures (option disponible dans wp-config.php avec define('WP_AUTO_UPDATE_CORE', 'minor');).
Par ailleurs, vérifiez les permissions des plugins et thèmes que vous utilisez. Une attaque peut cibler un plugin vulnérable installé sur un site à jour. La défense en profondeur reste la stratégie la plus efficace : WAF, durcissement des fichiers wp-config.php, restriction des accès administrateurs, audits de code réguliers.
Conclusion : agir sans délai pour protéger votre site
Deux vulnérabilités WordPress majeures - une injection SQL critique et une combinaison SQLi/RCE - menacent actuellement des millions de sites. La mise à jour vers WordPress 6.9.5 ou 6.8.6 est impérative. Si vous ne pouvez pas le faire immédiatement, bloquez temporairement l’accès anonyme à l’API batch via votre WAF. Dans les deux cas, ne tardez pas : les attaquants exploitent ces failles en masse dès leur publication.
Nous vous recommandons également de revoir votre politique de mises à jour et de mettre en place une veille de sécurité proactive. La conformité RGPD et la confiance de vos utilisateurs en dépendent. Agissez dès maintenant : vérifiez la version de votre WordPress et appliquez le correctif.