Wordpress : vulnérabilités de sécurité actuelles juillet 2025

En juillet 2025, plusieurs vulnérabilités critiques dans les plugins et les thèmes WordPress ont été connues et peuvent affecter de nombreux sites Web :

1. Plugin de formulaire de contact HT (plus de 10 000 sites Web concernés)

Points faibles : Téléchargement, suppression et déplacement de fichiers possibles sans authentification (CVSS jusqu’à 9.8).
Danger: Les attaquants peuvent télécharger des fichiers arbitraires, y compris des logiciels malveillants PHP, ou supprimer des fichiers critiques tels que des wp-config.php logiciels malveillants PHP. Cela permet la prise de contrôle complète du site web.
Mettre à jour: Correctif publié le 13 juillet 2025 → mise à jour vers la version 2.2.2 fortement recommandée.

2. Plugin post-SMTP (plus de 400 000 installations)

Vulnérabilité: Droits d’accès incorrects (CVE-2025-24000) : chaque utilisateur enregistré peut consulter les journaux d’e-mails, y compris les e-mails de réinitialisation de mot de passe, et ainsi prendre le contrôle des comptes administrateurs.
Danger: Contrôle total sur le site WordPress possible.
Enlèvement: Correctif avec la version 3.3.0 le 11 juin 2025 → installer au moins la version 3.3.0.

3. Thème des moteurs

Vulnérabilité: Une validation insuffisante de l’utilisateur permet une élévation de privilèges (CVE-2025-4322).
Danger: Les attaquants peuvent modifier les mots de passe des administrateurs et obtenir un accès complet sans authentification.
Solution: Correctif avec la version 5.6.68 (à partir du 12 juin 2025). Les administrateurs doivent vérifier les activités inhabituelles et les comptes inconnus si nécessaire, et exécuter la mise à jour du thème.

4. Fin du support des versions 4.1 à 4.6 de WordPress

Depuis juillet 2025, ces anciennes versions de base ne recevront plus de mises à jour de sécurité . Les opérateurs doivent absolument mettre à jour vers une version actuelle pour maintenir la protection contre les nouvelles vulnérabilités.

5. Autres vulnérabilités critiques (sélection, selon le rapport de vulnérabilité de juillet 2025)

Tableau d’assistance (plugin) : Suppression arbitraire de fichiers – mise à jour vers la version 3.8.1 requise.
Téléchargement du fichier WP : Cross Site Scripting (XSS) – Correctif disponible à partir de la version 6.2.6.
Une sécurité très simple : Prise en charge par l’administrateur possible – mise à jour vers au moins la version 9.1.2 requise .

Recommandations d’action pour juillet 2025

Les plugins, les thèmes et le noyau WordPress peuvent être mis à jour immédiatement vers les dernières versions.
Surtout avec les plugins populaires tels que HT Contact Form, Post SMTP, Support Board, Motors et Really Simple Security, faites attention aux journaux de modifications et aux avertissements de sécurité.
Désinstallez les versions de WordPress (antérieures à la version 4.6) qui ne sont plus prises en charge ou migrez-les vers une version actuelle.
Utilisez régulièrement des scanners de sécurité et des outils de surveillance pour détecter les activités suspectes et les comptes non autorisés.

Les menaces actuelles concernent principalement les failles de sécurité des plugins les plus utilisés. Les opérateurs doivent toujours installer les dernières mises à jour et s’assurer que les plugins/thèmes proviennent de sources fiables pour assurer la protection de leur site.

Agence WordPress JoeWP - Maintenance et sécurité — Agence WordPress JoeWP – WordPress

Voulez-vous nous charger de l’élimination des failles de sécurité et des vulnérabilités sur votre site Web WordPress ?

Demandez une assistance d’urgence !