Vulnérabilité Burst Statistics : Perte de contrôle admin

Une vulnérabilité grave dans le plugin WordPress Burst Statistics est actuellement exploitée par des attaquants, exposant les propriétaires de sites web à un risque de perte totale du contrôle administratif de leur site. Si vous utilisez ce plugin pour suivre vos statistiques de visiteurs, vous devez agir immédiatement.

Que se passe-t-il ?

Selon BleepingComputer, des pirates exploitent activement une vulnérabilité critique de contournement d'authentification, référencée CVE-2026-8181, dans le plugin Burst Statistics. Cette faille permet aux attaquants de contourner entièrement le processus de connexion et d'obtenir un accès de niveau administrateur à un site WordPress, sans avoir besoin d'un mot de passe valide.

La vulnérabilité fonctionne parce que le plugin interprète incorrectement le résultat d'une fonction d'authentification WordPress. Lorsque la fonction renvoie une erreur ou un résultat vide, le plugin traite à tort cela comme une connexion réussie. Cela signifie qu'un attaquant peut fournir n'importe quel mot de passe incorrect et se voir quand même accorder un accès administrateur lors d'une requête API REST. Dans le pire des cas, selon BleepingComputer, un attaquant pourrait utiliser cette faille pour créer un tout nouveau compte administrateur sur votre site sans aucun accès préalable.

Quelle est l'ampleur du problème ?

Burst Statistics est installé sur environ 200 000 sites WordPress. Selon BleepingComputer, environ 115 000 de ces sites sont encore exposés à cette vulnérabilité. Wordfence, la société de sécurité qui a identifié la faille le 8 mai 2026, indique avoir bloqué plus de 7 400 attaques ciblant cette vulnérabilité en une seule période de 24 heures. Ce chiffre donne une indication claire de l'intensité avec laquelle cette faille est ciblée.

Que peuvent faire les attaquants avec un accès administrateur ?

Un accès de niveau administrateur à votre site WordPress représente en quelque sorte les clés de votre établissement. Un attaquant disposant de ce niveau de contrôle pourrait lire des données privées, installer du code malveillant, rediriger vos visiteurs vers des sites nuisibles, ou vous bloquer l'accès à votre propre site. Pour une PME, ce type d'incident peut nuire à votre réputation et potentiellement mettre en danger les données de vos clients.

Que devez-vous faire maintenant ?

La solution est simple. Selon BleepingComputer, vous devez mettre à jour le plugin Burst Statistics vers la version 3.4.2 ou ultérieure dès que possible. Si vous n'êtes pas en mesure d'effectuer la mise à jour immédiatement, désactiver le plugin est l'option la plus sûre dans l'attente de pouvoir le faire.

Vous pouvez vérifier les plugins installés sur votre site en vous connectant à votre tableau de bord WordPress et en accédant à la section Extensions. Si vous ne savez pas comment procéder, demandez de l'aide à votre développeur web ou à votre hébergeur.

Pour des conseils plus généraux sur la sécurisation de votre site web, consultez notre liste de contrôle sécurité pour les petites entreprises ainsi que notre guide sur les plugins WordPress vulnérables.

Qu'est-ce que cela signifie pour votre site web ?

Si vous utilisez Burst Statistics pour suivre les visiteurs de votre site, votre site est peut-être actuellement exposé à un risque de prise de contrôle par un tiers non autorisé. La mise à jour du plugin vers la version 3.4.2 corrige la vulnérabilité et constitue la mesure la plus importante que vous puissiez prendre aujourd'hui. Maintenir tous vos plugins à jour est l'un des moyens les plus simples et les plus efficaces de protéger votre activité en ligne. À noter que si votre site collecte des données personnelles de visiteurs, une compromission pourrait également vous exposer à des obligations de notification auprès de la CNIL en vertu du RGPD.