Vulnérabilité critique WPvivid : protégez votre site WordPress avant qu’elle ne soit exploitée

Hippolyte Valdegré

Vulnérabilité critique WPvivid - le danger imminent pour vos sauvegardes WordPress

En 2026, plus de 900 000 sites WordPress utilisent le plugin WPvivid Backup & Migration pour leurs sauvegardes et migrations. Une vulnérabilité critique WPvivid (CVE-2026-1357) permet à un attaquant d’exécuter du code à distance simplement en téléversant un fichier malveillant, sans aucune authentification. Dans cet article, nous décortiquons le mécanisme de la faille, évaluons son impact sur le paysage français et vous guidons pas à pas pour sécuriser votre installation.

“Le score CVSS de 9,8 place cette vulnérabilité parmi les 1 % des failles les plus critiques au niveau mondial” - ANSSI, 2026.

“Seules les installations ayant activé l’option ‘receive backup from another site’ sont réellement exposées, mais cette fonction est couramment utilisée dans les migrations” - Defiant, 2026.

Comprendre la vulnérabilité critique WPvivid

Origine technique de la faille

Le cœur du problème réside dans une mauvaise gestion des erreurs RSA combinée à une absence d’assainissement des chemins de fichiers. Lorsque la fonction openssl_private_decrypt() échoue, le plugin transmet la valeur booléenne false à la routine AES. Le moteur cryptographique interprète alors cette valeur comme une chaîne de null bytes, générant une clé de chiffrement prédictible. Un acteur malveillant peut alors créer un payload chiffré que le plugin accepte comme légitime.

Par ailleurs, le plugin ne filtre pas correctement les noms de fichiers uploadés ; une simple séquence ../ permet d’écrire n’importe quel fichier hors du répertoire de sauvegarde, y compris des scripts PHP capables d’exécuter du code à distance.

// Exemple simplifié du traitement vulnérable
$decrypted = openssl_private_decrypt($encrypted_key, $private_key);
// $decrypted vaut false si la décryption échoue
$aes_key = $decrypted ?: str_repeat("\0", 32); // clé prédictible

// Aucun contrôle du nom de fichier
move_uploaded_file($tmp, WPVIVID_BACKUP_DIR . '/' . $_FILES['file']['name']);

Scénario d’exploitation réaliste

  1. Attaquant génère une clé RSA invalide, force l’échec de décryptage.
  2. Il crée une charge utile chiffrée avec la clé de null bytes.
  3. Il téléverse un fichier nommé ../../malicious.php contenant le code PHP malveillant.
  4. Le plugin place le fichier hors du répertoire de sauvegarde, le rendant exécutable via une requête HTTP.
  5. Le serveur exécute le code, donnant le contrôle total du site.

Ce processus ne nécessite aucune authentification et ne dépend que de l’activation de l’option « receive backup from another site », souvent activée temporairement lors de migrations.

Impacts pour les sites WordPress français

Portée et gravité selon le score CVSS

Le score CVSS de 9,8 indique une vulnérabilité critique. Selon le Baromètre de la cybersécurité 2025 de l’ANSSI, 42 % des sites WordPress en France utilisent au moins un plugin de sauvegarde, dont une part importante recourt à WPvivid.

les meilleurs blogs de sécurité informatique à suivre en 2026 Cela représente plus de 370 000 sites potentiellement exposés.

CritèreValeur avant correctifValeur après correctif
Validation RSAAucun contrôleArrêt du processus si décryptage échoue
Sanitisation de nomAucun filtreFiltrage strict des extensions autorisées (ZIP, GZ, TAR, SQL)
Durée de validité clé24 h (exploitation possible)Clé rejetée après 5 min

Conséquences d’une compromission

  • Prise de contrôle totale du site : injection de backdoors, redirection vers des sites malveillants, vol de données utilisateurs.
  • Violation du RGPD : exposition de données personnelles, sanctions pouvant atteindre 4 % du chiffre d’affaires annuel.
  • Perte de confiance : impact sur le référencement SEO et sur la réputation de l’entreprise.
  • Coût de récupération : selon une étude de CyberEdge 2025, le coût moyen de remise en état d’un site WordPress compromis s’élève à 12 000 €.

Malware macOS nord‑coreen ciblant le secteur crypto en 2026

Mesures de mitigation et mise à jour

Correctifs officiels et bonnes pratiques

Le développeur WPVividPlugins a publié la version 0.9.124 le 28 janvier 2026. Le correctif inclut :

  • Un contrôle strict du résultat de openssl_private_decrypt() ; en cas d’échec, le processus s’arrête immédiatement.
  • Sanitisation des noms de fichiers avec une whitelist d’extensions autorisées.
  • Limitation du temps de validité de la clé de transfert à 5 minutes.

“Nous recommandons d’appliquer la mise à jour dès que possible et de désactiver l’option de réception de sauvegarde tant qu’elle n’est pas strictement nécessaire” - Defiant, 2026.

Processus de vérification post-mise à jour

  1. Sauvegarde complète du site (fichiers + base de données) avant toute modification.
  2. Installation de la version 0.9.124 via le tableau de bord WordPress ou en téléchargeant le paquet depuis le dépôt officiel.
  3. Audit de configuration : vérifier que l’option « receive backup from another site » est désactivée par défaut.
  4. Test de pénétration interne : tenter d’uploader un fichier avec un nom contenant ../ pour confirmer le filtrage.
  5. Surveillance : activer les alertes de l’ANSSI via le service Cybermalveillance.gouv.fr pour être informé de nouvelles vulnérabilités.

Mise en œuvre - étapes actionnables

  1. Identifier les sites utilisant WPvivid :
    • Utilisez un outil de scanning interne (ex. WPScan) pour rechercher le plugin et sa version.
  2. Planifier la mise à jour pendant une fenêtre de maintenance :
    • Informez les utilisateurs, activez le mode maintenance.
  3. Appliquer la version 0.9.124 :
    • Via le tableau de bord → Extensions → Mettre à jour, ou en FTP.
  4. Désactiver la fonction de réception de sauvegarde tant qu’elle n’est pas indispensable :
    • WPVivid -> Settings -> Receive backup → décocher.
  5. Valider la sécurisation :
    • Effectuez un test d’upload de fichier nommé ../../test.php ; le système doit rejeter le fichier.
  6. Documenter l’incident :

Guide d’achat eLearning formation cybersécurité 2026 – comparaison des meilleures plateformes

  • Consignez les actions réalisées dans votre registre de conformité ISO 27001.

Conclusion - votre prochaine action

La vulnérabilité critique WPvivid représente une menace immédiate pour les sites WordPress français, surtout ceux qui utilisent la fonction de migration inter-sites. En suivant les étapes décrites - identification, mise à jour, désactivation du mode à risque et validation - vous réduirez fortement la surface d’attaque et vous conformerez aux exigences de l’ANSSI et du RGPD. Agissez dès aujourd’hui : vérifiez votre version, appliquez le correctif 0.9.124 et intégrez ces bonnes pratiques dans votre processus de gestion des plugins. Votre site, vos données et votre réputation en dépendront.