Plugins WordPress vulnérables : les alertes du CCB belge

La plupart des entrepreneurs belges pensent que surveiller les vulnérabilités des plugins WordPress exige de suivre d'obscures listes de diffusion spécialisées. Ce n'est pas le cas. La Belgique dispose d'un service national d'alerte précoce qui fait cette veille à votre place. Le Centre pour la Cybersécurité Belgique (CCB), l'autorité fédérale derrière le CERT.be, publie gratuitement des avis publics chaque fois qu'un plugin WordPress largement utilisé présente une faille critique.

Cela change la façon dont une PME doit aborder la sécurité de ses plugins. Vous n'avez pas besoin de surveiller les flux CVE mondiaux. Il vous faut trois habitudes : suivre les alertes du CCB, garder une routine de mise à jour stricte, et savoir exactement quoi faire le jour où une alerte cite un plugin que vous utilisez. Ce guide couvre les trois.

La Belgique dispose d'un système d'alerte précoce pour les plugins WordPress

Le CCB tient à jour un flux d'avis public avec une option RSS, rédigé en anglais et destiné aux organisations belges de toutes tailles. Quand une vulnérabilité est suffisamment grave, l'avis nomme le plugin, indique l'identifiant CVE et le score de gravité, précise quelles versions sont touchées et vous dit en termes clairs quoi faire. L'instruction habituelle tient en deux mots : corrigez immédiatement.

Ce point compte pour une raison très pratique. Au moment où le CCB émet une alerte, l'exploitation automatisée est en général déjà en cours ou imminente. Un avis qui arrive dans votre boîte mail n'est pas de la lecture de fond. C'est une tâche à traiter le jour même.

Trois alertes réelles du CCB illustrent le schéma, et chacune concerne un plugin qu'un site belge ordinaire pourrait très bien utiliser :

GiveWP, le plugin de dons et de collecte de fonds. En août 2024, le CCB a alerté sur une faille critique dans GiveWP (CVE-2024-5932, score CVSS de 10.0, le maximum possible). Un bug d'injection d'objet PHP permettait à des attaquants non authentifiés d'exécuter leur propre code sur le serveur et de supprimer des fichiers arbitraires. Environ 100 000 sites étaient exposés dans le monde. Si votre ASBL, votre club sportif ou votre page de campagne caritative accepte des dons via WordPress, c'était votre plugin. Le correctif : passer à la version 3.14.2 ou ultérieure.

Better Search Replace, l'outil de migration de base de données. En janvier 2024, le CCB a signalé une vulnérabilité d'injection critique (CVE-2023-6933, CVSS 9.8) touchant toutes les versions jusqu'à la 1.4.4 incluse. C'est le plugin que les agences web et les propriétaires de sites installent une fois lors d'un changement de domaine ou d'un rebranding, puis oublient. Les plugins oubliés sont exactement ce sur quoi les attaquants comptent. Le correctif : la version 1.4.5 ou ultérieure, ou mieux encore, supprimer le plugin une fois la migration terminée.

WCFM Membership, utilisé par les marketplaces et les sites à adhésion. Un avis du CCB de 2023 a mis en garde contre une faille d'élévation de privilèges (CVE-2022-4939, CVSS 9.8) dans les versions jusqu'à la 2.10.0 incluse. Le bug permettait à n'importe qui de s'enregistrer comme administrateur de votre site. Aucun mot de passe à craquer. Un webshop multi-vendeurs reposant sur ce plugin était à une seule requête HTTP d'une prise de contrôle totale.

Abonnez-vous au flux d'avis via RSS, ou consultez-le lors de votre tournée hebdomadaire de mises à jour. Cela ne coûte rien et c'est écrit précisément pour votre situation : une organisation belge sans équipe de sécurité.

Pourquoi les alertes concernent presque toujours des plugins

Le cœur de WordPress est maintenu par une équipe nombreuse et bien financée, et reçoit des correctifs de sécurité rapides. L'écosystème des plugins est un autre monde. Des dizaines de milliers de plugins sont des projets annexes de développeurs individuels. Quand le développeur passe à autre chose, le code reste installé sur des centaines de milliers de sites sans que personne ne le corrige.

Les chiffres le confirment. La base de données WPScan recense plus de 50 000 vulnérabilités WordPress connues, et l'écrasante majorité se trouve dans les plugins plutôt que dans le cœur. Les chiffres 2024 de Patchstack attribuent 97 % des nouvelles vulnérabilités WordPress aux plugins et aux thèmes.

L'exploitation est industrielle, pas personnelle. Des bots balayent l'internet à la recherche de sites utilisant une version vulnérable précise, et le site cinq pages d'une boulangerie de Namur est sondé par les mêmes scripts qu'une multinationale. Une fois à l'intérieur, les attaquants envoient du spam depuis votre domaine, déposent des malwares pour vos visiteurs, siphonnent des données clients ou détournent discrètement votre trafic. Des semaines peuvent passer avant que quiconque ne s'en aperçoive.

Le cycle de vie derrière chaque alerte du CCB est identique. Un chercheur trouve la faille, le développeur publie un correctif, l'avis est diffusé, puis des milliers de propriétaires de sites ne font rien. L'écart entre « correctif disponible » et « correctif installé » constitue toute la fenêtre d'attaque. Votre seul travail est de réduire cette fenêtre au plus près de zéro.

Article 32 : pourquoi l'APD s'intéresse à vos habitudes de mise à jour

En Belgique, négliger les mises à jour n'est pas seulement risqué. Un régulateur s'y intéresse.

L'article 32 du RGPD oblige quiconque traite des données personnelles à prendre des « mesures techniques et organisationnelles appropriées » pour les sécuriser. Formulaires de contact, comptes clients, commandes en ligne, inscriptions à la newsletter : si votre site WordPress comporte l'un de ces éléments, l'article 32 s'applique à vous. En Belgique, la règle est appliquée par l'Autorité de protection des données (APD) en vertu de la loi du 30 juillet 2018.

Reliez maintenant les deux moitiés. Si l'autorité nationale de cybersécurité a publiquement demandé à toutes les organisations belges de corriger un plugin, et que six mois plus tard vos données clients fuitent par ce même plugin non corrigé, l'argument des « mesures appropriées » devient très difficile à défendre. L'APD a déjà sanctionné des organisations pour sécurité insuffisante, et une violation via une faille connue, publiquement signalée et corrigée depuis longtemps est la position défensive la plus faible qui soit. Et au nettoyage s'ajouterait encore l'obligation de notifier la violation dans les 72 heures.

Notre guide sur le RGPD et la sécurité de votre site web détaille les obligations de l'article 32, et notre liste de contrôle RGPD replace l'hygiène des plugins dans un cadre plus large.

Découvrez ce qui tourne réellement sur votre site

Impossible de comparer votre site à une alerte du CCB si vous ne connaissez pas votre inventaire de plugins. Quatre façons de l'obtenir, de la plus simple à la plus puissante :

Votre tableau de bord WordPress. Sous Extensions > Extensions installées, WordPress signale chaque plugin avec une mise à jour en attente. Traitez deux messages comme des alertes rouges plutôt que des corvées : « Cette extension a été fermée » et « Cette extension n'a pas été testée avec votre version de WordPress ». Les deux suggèrent un abandon, et les plugins abandonnés ne reçoivent jamais de correctifs de sécurité.

Une recherche WPScan. Cherchez chacun de vos plugins sur wpscan.com/plugins pour voir ses vulnérabilités connues et les plages de versions touchées. Utile quand un avis du CCB nomme un plugin et que vous voulez confirmer si votre version installée tombe dans la plage vulnérable.

Un scan externe. Notre scanner de site web gratuit inspecte votre site de l'extérieur, comme le ferait le bot d'un attaquant, et signale les logiciels obsolètes parmi d'autres problèmes de conformité.

WP-CLI, si vous avez un accès SSH. Une seule commande liste tout :

wp plugin list --fields=name,version,update_version,status

Et pour isoler uniquement les plugins avec des mises à jour en attente :

wp plugin list --update=available --format=table

Réduisez la liste avant de la corriger

Chaque plugin que vous supprimez est un plugin que vous n'aurez plus jamais à corriger, surveiller ou craindre. Avant de resserrer votre routine de mise à jour, allégez l'inventaire.

Parcourez la liste complète, plugins inactifs compris. Les plugins désactivés gardent leurs fichiers PHP sur le serveur, et ces fichiers peuvent souvent être attaqués directement par URL. Pour chaque entrée, trois questions décident de son sort :

1. Remplit-il encore une fonction ? Sinon, supprimez-le purement et simplement. Désactiver ne suffit pas, comme le montre l'exemple de Better Search Replace : un outil utilisé une fois lors d'une migration a continué d'exposer des sites pendant des années.
2. Est-il encore maintenu ? Un plugin sans mise à jour depuis plus de douze mois est candidat au remplacement, quelle que soit sa note.
3. Est-il confidentiel ? Les plugins avec seulement quelques centaines d'installations font l'objet de bien moins de recherches en sécurité, ce qui signifie que les failles émergent plus tard et que les correctifs arrivent plus lentement.

Un site de PME typique tourne confortablement avec 8 à 15 plugins. Un inventaire de 30 ou plus cache presque toujours des doublons et des restes.

Les mises à jour automatiques, avec un filet de sécurité

Depuis la version 5.5, WordPress peut mettre à jour les plugins tout seul. Pour une petite entreprise sans webmaster de garde, c'est généralement le bon compromis : un rare problème de mise en page après une mise à jour coûte moins cher qu'une intrusion due à un correctif manqué.

Activez-les plugin par plugin via le lien « Activer les mises à jour automatiques » sous Extensions > Extensions installées, ou pour tout en une fois via le menu des actions groupées. Les développeurs peuvent le configurer globalement dans wp-config.php :

// Enable auto-updates for all plugins
add_filter( 'auto_update_plugin', '__return_true' );

Deux précautions rendent les mises à jour automatiques sûres. D'abord, des sauvegardes quotidiennes, pour pouvoir annuler une mise à jour cassée en quelques minutes. Ensuite, pour un webshop ou un site de réservation où chaque heure d'indisponibilité coûte de l'argent, testez les mises à jour majeures sur une copie de staging avant qu'elles n'atteignent le site en production.

Les mises à jour automatiques ne rendent pas le flux du CCB superflu. Quand un avis indique qu'une faille est activement exploitée, vous vérifiez le jour même que le correctif est bien installé au lieu de supposer que l'automatisation s'en est occupée.

Déjà compromis ? La Belgique vous donne un plan d'action clair

Imaginons qu'une alerte du CCB cite un plugin que vous utilisez, et que vous le découvriez trop tard. Des comptes administrateurs étranges, des fichiers inconnus dans wp-content/uploads, des visiteurs qui se plaignent de redirections. Agissez dans cet ordre :

1. Corrigez ou supprimez le plugin pour fermer la porte avant de commencer le nettoyage
2. Changez tous les identifiants : administrateurs WordPress, base de données, FTP/SFTP et panneau d'hébergement
3. Vérifiez l'intégrité des fichiers, par exemple avec wp plugin verify-checksums ou un scanner de malwares comme Wordfence
4. Signalez l'incident au CCB via le portail de signalement du CERT.be. Les signalements reçoivent un accusé de réception automatique en quelques minutes, le service est gratuit, et un numéro de dossier renforce toute déclaration d'assurance
5. Évaluez le volet RGPD. Si des données personnelles ont été exposées, l'APD doit être notifiée dans les 72 heures suivant la découverte

Pour la séquence complète de récupération, y compris la notification à l'APD et ce qu'il faut dire aux clients concernés, suivez notre guide étape par étape site web piraté : que faire maintenant.

Ancrez la routine : le point de départ CyberFundamentals

Si vous voulez inscrire l'hygiène des plugins dans quelque chose de plus durable que les bonnes intentions, le programme Safeonweb@work du CCB est conçu pour les entreprises belges et il est gratuit. Son cadre CyberFundamentals définit des niveaux de maturité, et le plus bas, « Small », est pensé pour les micro-organisations sans personnel informatique. La gestion des correctifs, qui est au fond le sujet de tout ce guide, se situe à ce niveau de départ. Un restaurant ou un salon de coiffure peut y satisfaire avec une routine hebdomadaire de quinze minutes.

Questions fréquentes

Comment suivre les alertes du CCB sur les plugins ?

Mettez ccb.belgium.be/advisories dans vos favoris ou abonnez-vous à son flux RSS. Les avis sont publiés en anglais et accessibles gratuitement à tous. Parcourez la liste lors de votre tournée hebdomadaire de mises à jour et lisez en entier tout avis qui nomme un logiciel que vous utilisez.

Dois-je signaler un plugin piraté au CERT.be ?

Pour une PME classique, il n'existe pas d'obligation légale de signalement au CERT.be (les entités soumises à NIS2 sont un cas à part). Cela vaut quand même la peine : le signalement est gratuit, accusé de réception en quelques minutes, il aide le CCB à suivre les campagnes visant les entreprises belges, et il vous donne un numéro de référence pour les assureurs. La notification à l'APD est une autre affaire. Si des données personnelles ont fuité, celle-là est obligatoire dans les 72 heures.

À quelle fréquence dois-je vérifier les mises à jour ?

Au minimum chaque semaine, les mises à jour automatiques assurant l'intervalle. Dès qu'un avis du CCB nomme l'un de vos plugins, le calendrier ne s'applique plus : corrigez le jour même.

Un plugin désactivé peut-il encore être exploité ?

Souvent, oui. La désactivation laisse les fichiers PHP du plugin sur votre serveur, et de nombreuses vulnérabilités peuvent être déclenchées en appelant ces fichiers directement. La suppression est le seul état qui élimine le risque.

Mon site est minuscule. Suis-je vraiment une cible ?

Vous n'êtes pas une cible au sens personnel, et c'est précisément le problème. L'exploitation est l'œuvre de bots qui scannent des millions de sites à la recherche d'une version vulnérable précise. Ils ne regardent jamais vos chiffres de fréquentation. Utiliser la version vulnérable est le seul critère.

Mon hébergeur ne s'en occupe-t-il pas ?

Votre hébergeur sécurise le serveur sous votre site. Les plugins au-dessus sont à vous. Certaines formules WordPress managées incluent bien les mises à jour de plugins, mais c'est une clause contractuelle à vérifier, jamais une hypothèse à faire.

---

Vérifiez votre site web maintenant. Scannez votre site à la recherche de logiciels obsolètes, de problèmes de sécurité et plus encore. Gratuit, sans inscription. Scannez votre site web

Sources

• Avis CCB #2024-207 - Vulnérabilité critique dans le plugin GiveWP, CVE-2024-5932 (ccb.belgium.be)
• Avis CCB #2024-15 - Vulnérabilité d'injection critique dans le plugin Better Search Replace, CVE-2023-6933 (ccb.belgium.be)
• Avis CCB #2023-37 - Plugins WordPress vulnérables à l'élévation de privilèges, CVE-2022-4939 (ccb.belgium.be)
• CCB / CERT.be - Signaler un incident (ccb.belgium.be)
• Safeonweb@work - Cadre CyberFundamentals (atwork.safeonweb.be)
• RGPD, article 32 - Sécurité du traitement (eur-lex.europa.eu)
• Loi du 30 juillet 2018 relative à la protection des données (ejustice.just.fgov.be)
• Autorité de protection des données / APD (autoriteprotectiondonnees.be)
• Directive NIS 2 (UE) 2022/2555 (eur-lex.europa.eu)

Ceci est une analyse technique, pas un avis juridique. Consultez un avocat pour un conseil juridique spécifique.