Vulnérabilités WordPress critiques : deux failles haute sévérité à corriger d'urgence (CVE-2026-60137, CVE-2026-63030)
Lysandre Beauchêne
WordPress est le système de gestion de contenu le plus utilisé au monde, avec plus de 43 % des sites web (selon W3Techs). En juillet 2026, deux nouvelles vulnérabilités de haute sévérité ont été révélées, mettant en danger des millions de sites. L’une permet une injection SQL facilitée, l’autre une exécution de code à distance via l’API REST. Pire : ces failles sont déjà activement explorées par des attaquants. Si vous administrez un site WordPress, vous devez appliquer le correctif immédiatement. Cet article détaille les deux vulnérabilités, leur impact et les mesures à prendre pour protéger votre infrastructure.
Deux nouvelles vulnérabilités WordPress de haute sévérité découvertes en juillet 2026
Le 18 juillet 2026, l’équipe de sécurité WordPress a publié la version 7.0.2 corrigeant deux failles graves. La première, identifiée CVE-2026-60137, est une injection SQL simplifiée, signalée par les chercheurs TF1T, dtro et haongo. La seconde, CVE-2026-63030, est une vulnérabilité de confusion de routes batch dans l’API REST, combinée à une injection SQL, menant à une exécution de code à distance (RCE). Elle a été découverte par Adam Kues, chercheur chez Assetnote / Searchlight Cyber.
CVE-2026-60137 : injection SQL facilitée
Cette faille affecte la manière dont WordPress gère certaines requêtes SQL. Un attaquant non authentifié peut, dans certaines conditions, injecter des commandes SQL malveillantes. Cela permet de récupérer des données sensibles (mots de passe hachés, emails, clés API) ou même de modifier le contenu de la base de données. L’injection SQL est une technique classique, mais ici la surface d’attaque est élargie, ce qui la rend particulièrement dangereuse.
CVE-2026-63030 : exécution de code à distance via l’API REST
Cette vulnérabilité est plus complexe mais aussi plus sévère. Elle exploite un défaut dans le traitement des routes batch de l’API REST (endpoint /batch/v1). Un attaquant peut envoyer une requête spécialement conçue pour confondre le routeur de l’API, conduisant à une injection SQL, puis à une exécution de code arbitraire sur le serveur. Adam Kues a démontré qu’il est possible de prendre le contrôle total d’un site WordPress vulnérable sans aucune authentification. Cette faille a été classée comme critique par l’équipe WordPress.
« Cette vulnérabilité est extrêmement dangereuse car elle ne nécessite aucune authentification et permet une exécution de code à distance. Les sites utilisant l’API REST sont particulièrement exposés. » - Adam Kues, Assetnote / Searchlight Cyber
Quelles versions de WordPress sont concernées ?
Le tableau suivant récapitule les versions affectées par chaque faille, ainsi que les versions corrigées.
| Version WordPress | Affectée par CVE-2026-60137 | Affectée par CVE-2026-63030 | Version corrigée disponible |
|---|---|---|---|
| 6.9.x | Oui | Oui | 6.9.5 |
| 6.8.x | Oui | Non | 6.8.6 |
| 7.1 beta | Oui | Oui | 7.1 beta2 |
| Versions < 6.8 | Non | Non | Aucune mise à jour nécessaire |
Important : WordPress 6.9 est la version cible principale. Les versions antérieures à 6.8 ne sont pas vulnérables, ce qui est une bonne nouvelle pour les sites restés sur des versions plus anciennes. Toutefois, ces versions plus anciennes ne bénéficient plus des correctifs de sécurité généraux - il est fortement recommandé de migrer vers une version supportée.
Quel est l’impact de ces vulnérabilités ?
Les conséquences d’une exploitation réussie sont graves. Pour CVE-2026-60137, un attaquant peut extraire l’intégralité de la base de données, y compris les identifiants des utilisateurs. Selon une analyse de l’ANSSI, les injections SQL sont à l’origine de 30 % des compromissions de sites web en France. Pour CVE-2026-63030, le risque est maximal : prise de contrôle complète du site, installation de portes dérobées, vol de données, voire utilisation du serveur pour des attaques ultérieures.
En pratique, un site WordPress non patché peut être transformé en zombie pour des campagnes de phishing ou de malvertising. Nous avons observé que les attaquants ciblent souvent les petites et moyennes entreprises qui négligent les mises à jour. Un cas concret : en juin 2026, une agence web française basée à Lyon a été victime d’une attaque via une faille similaire (non corrigée) - son site a été redirigé vers une fausse page de connexion, compromettant les données de 5 000 clients.
Toutefois, la bonne nouvelle est que les correctifs sont disponibles. L’urgence est réelle, mais la solution est simple : mettez à jour WordPress immédiatement.
Mesures de correction et contournement temporaire
La première action à réaliser est de mettre à jour WordPress vers la version corrigée. Voici les étapes :
- Connectez-vous à votre tableau de bord WordPress (admin).
- Vérifiez la version actuelle : dans le menu « Tableau de bord » → « Mises à jour ».
- Téléchargez et installez la mise à jour : si une version corrigée est disponible, cliquez sur « Mettre à jour maintenant ».
- Vérifiez le bon fonctionnement du site après la mise à jour.
Si vous ne pouvez pas mettre à jour immédiatement (par exemple, à cause de plugins incompatibles), vous pouvez appliquer une mesure de contournement temporaire recommandée par les chercheurs de Searchlight Cyber :
- Bloquer l’accès anonyme à l’API batch en installant un plugin qui bloque l’accès à l’API REST pour les visiteurs non connectés ;
- Ou configurer un pare-feu applicatif (WAF) pour bloquer les requêtes vers
/wp-json/batch/v1et?rest_route=/batch/v1.
Exemple de règle WAF (avec ModSecurity) :
SecRule REQUEST_URI "/wp-json/batch/v1" "id:1001,phase:1,deny,status:403,msg:'WordPress batch API blocked'"
SecRule ARGS:rest_route "/batch/v1" "id:1002,phase:1,deny,status:403"
Attention : ces mesures temporaires peuvent affecter le fonctionnement légitime de votre site, notamment si vous utilisez des extensions qui sollicitent l’API batch (par exemple, certains constructeurs de pages ou plugins d’e-commerce). Testez-les d’abord dans un environnement de staging.
Bonnes pratiques pour sécuriser votre site WordPress
Au-delà de cette correction urgente, la sécurité d’un site WordPress repose sur des gestes quotidiens. Voici une liste de recommandations :
- Maintenez WordPress, vos thèmes et plugins à jour - les mises à jour de sécurité sont souvent publiées pour corriger des failles connues.
- Utilisez un plugin de sécurité (Wordfence, Sucuri, iThemes Security) qui ajoute une couche de protection, notamment un pare-feu et une analyse des fichiers.
- Activez l’authentification à deux facteurs (2FA) pour tous les comptes administrateurs.
- Limitez les tentatives de connexion pour éviter les attaques par force brute.
- Supprimez les comptes inutilisés et changez régulièrement les mots de passe.
- Effectuez des sauvegardes régulières (quotidiennes si possible) et stockez-les hors site.
- Surveillez les logs d’accès pour détecter des comportements anormaux.
- Appliquez les recommandations de l’ANSSI - le guide de sécurisation des CMS est une référence pour les responsables de sites publics ou privés.
En outre, nous vous conseillons de réaliser un audit de sécurité régulier, par exemple tous les trimestres, avec des outils comme WPScan. Cela permet de détecter les vulnérabilités avant qu’elles ne soient exploitées.
Conclusion : agissez sans tarder
Les deux vulnérabilités WordPress décrites dans cet article (CVE-2026-60137 et CVE-2026-63030) représentent une menace sérieuse pour tout site utilisant WordPress 6.8, 6.9 ou la version bêta 7.1. La faille RCE est particulièrement critique : elle permet à un attaquant non authentifié de prendre le contrôle de votre site. Ne tardez pas à appliquer le correctif. Mettez à jour vers la version 6.9.5, 6.8.6 ou 7.1 beta2 selon votre cas. Si vous ne pouvez pas le faire immédiatement, mettez en place le contournement temporaire avec un WAF. Ensuite, adoptez les bonnes pratiques de sécurité pour réduire les risques futurs. La sécurité de votre site - et de vos visiteurs - est entre vos mains.