Vulnérabilités WordPress critiques : deux failles (CVE-2026-60137 et CVE-2026-63030) à corriger d'urgence
Apollinaire Monteclair
Le 18 juillet 2026, l’équipe de sécurité WordPress a publié une mise à jour d’urgence (version 7.0.2) pour corriger deux vulnérabilités graves : une injection SQL facilitée (CVE-2026-60137) et une faille combinant contournement d’API et injection SQL menant à une exécution de code à distance (CVE-2026-63030). Selon les données de W3Techs, WordPress alimente plus de 43 % des sites web dans le monde. En France, des millions de sites sont potentiellement exposés. Ignorer ces correctifs expose votre site à une compromission totale. Dans cet article, nous détaillons les vulnérabilités, les versions concernées, les mesures d’atténuation temporaires, et les bonnes pratiques pour sécuriser durablement votre installation WordPress.
Les deux vulnérabilités WordPress identifiées : CVE-2026-60137 et CVE-2026-63030
CVE-2026-60137 - Injection SQL facilitée
La première vulnérabilité, référencée CVE-2026-60137, a été signalée par une équipe de chercheurs comprenant TF1T, dtro et haongo. Il s’agit d’une injection SQL facilitée qui exploite une faiblesse dans le traitement des requêtes utilisateur. En pratique, un attaquant non authentifié peut injecter des commandes SQL malveillantes dans la base de données du site, permettant potentiellement d’extraire des informations sensibles (mots de passe, e-mails, contenus privés) ou de modifier des données. La gravité a été classée comme critique par l’équipe WordPress.
« Cette injection SQL ne nécessite pas de privilèges avancés, ce qui la rend particulièrement dangereuse pour les sites non mis à jour. » - équipe de sécurité WordPress
CVE-2026-63030 - Injection SQL et exécution de code à distance via l’API REST
La seconde vulnérabilité, CVE-2026-63030, est encore plus préoccupante. Découverte par Adam Kues d’Assetnote / Searchlight Cyber, elle combine une confusion de routage dans l’API batch (batch-route confusion) avec une injection SQL, ouvrant la voie à une exécution de code à distance (RCE). Concrètement, un attaquant peut envoyer des requêtes malveillantes à l’API REST de WordPress, contourner les contrôles d’accès et exécuter du code arbitraire sur le serveur. Selon les chercheurs de Searchlight Cyber, cette faille affecte la version 6.9 et les versions ultérieures, avec un impact potentiel sur l’ensemble du site.
Quelles versions de WordPress sont concernées ?
Le tableau ci-dessous résume les versions affectées et les correctifs disponibles.
| Version WordPress | Vulnérabilité(s) affectée(s) | Correctif disponible |
|---|---|---|
| 6.9.x (jusqu’à 6.9.4) | CVE-2026-60137 et CVE-2026-63030 | Mise à jour vers 6.9.5 |
| 6.8.x (jusqu’à 6.8.5) | CVE-2026-60137 uniquement | Mise à jour vers 6.8.6 |
| 7.1 beta1 | CVE-2026-60137 et CVE-2026-63030 | Mise à jour vers 7.1 beta2 |
| Versions antérieures à 6.8 | Aucune | Non vulnérable |
WordPress 6.9.5 et 6.8.6 ont été publiés simultanément avec le correctif. Les utilisateurs de la version 7.1 (bêta) doivent installer la beta2.
Pourquoi ces vulnérabilités sont-elles particulièrement dangereuses ?
La combinaison de ces deux failles expose les sites à des risques majeurs :
- Vol de données : l’injection SQL permet d’exfiltrer la base de données entière, y compris les identifiants des utilisateurs.
- Prise de contrôle totale : la RCE via CVE-2026-63030 donne à l’attaquant un accès complet au serveur, lui permettant d’installer des portes dérobées, de modifier le contenu ou de lancer des attaques sur d’autres cibles.
- Exploitation à grande échelle : les chercheurs de Searchlight Cyber ont déjà observé des tentatives d’exploitation automatisées dans les heures suivant la divulgation. Selon une analyse de Wordfence, environ 30 % des sites WordPress ne sont pas mis à jour dans les 30 jours suivant une publication de correctif, ce qui représente une fenêtre de vulnérabilité critique.
En France, l’ANSSI rappelle régulièrement l’importance de la gestion des correctifs. Ces vulnérabilités illustrent parfaitement les risques liés aux CMS populaires, cibles privilégiées des attaquants.
Mesures d’atténuation temporaires en attendant la mise à jour
Si vous ne pouvez pas appliquer immédiatement le correctif, les chercheurs de Searchlight Cyber recommandent les mesures d’urgence suivantes pour bloquer l’accès à l’API batch :
- Installer un plugin qui bloque l’accès anonyme à l’API REST : par exemple, “Disable REST API” ou “WP Rest API Block”. Attention, cette solution peut désactiver des fonctionnalités légitimes (connexion via l’API, plugins tiers).
- Bloquer au niveau du pare-feu applicatif (WAF) les chemins suivants :
/wp-json/batch/v1?rest_route=/batch/v1
« Ces mesures sont temporaires et peuvent impacter le fonctionnement normal du site. Nous recommandons de mettre à jour dès que possible. » - équipe Searchlight Cyber
En pratique, un administrateur système peut ajouter une règle dans un WAF comme Cloudflare, ModSecurity ou un pare-feu applicatif dédié. Voici un exemple de règle pour un serveur Nginx avec ModSecurity :
# Bloquer l'accès anonyme à l'API batch
SecRule REQUEST_URI "@contains /batch/v1" "id:10001,phase:1,deny,status:403,msg:'Batch API block'"
Cette règle doit être utilisée avec précaution et testée sur un environnement de préproduction.
Comment appliquer le correctif de sécurité WordPress 7.0.2 ?
La mise à jour est simple et rapide. Suivez ces étapes :
- Sauvegardez votre site : base de données, fichiers, plugins et thèmes. Utilisez une solution de sauvegarde automatisée (UpdraftPlus, BackWPup).
- Mettez à jour le noyau WordPress : depuis le tableau de bord, accédez à Mise à jour et cliquez sur Mettre à jour vers la version 7.0.2. Vous pouvez également télécharger la version manuellement depuis le site officiel.
- Vérifiez que vos plugins et thèmes sont compatibles : après la mise à jour, testez les fonctionnalités clés de votre site (connexion, formulaires, e-commerce).
- Supprimez les éventuelles mesures temporaires : si vous aviez bloqué l’API batch, retirez les règles WAF ou désactivez le plugin de blocage après la mise à jour.
Pour les sites hébergés chez un fournisseur géré (comme Infomaniak, OVHcloud ou PlanetHoster), vérifiez si la mise à jour est automatique ou nécessite une intervention manuelle.
Bonnes pratiques pour sécuriser votre site WordPress face aux futures menaces
Maintenir WordPress à jour
La règle d’or est d’appliquer les mises à jour de sécurité dès leur publication. Activez les mises à jour automatiques pour les versions mineures. Selon un rapport de Sucuri, 60 % des sites WordPress piratés le sont à cause d’une version obsolète du noyau. Planifiez une veille sur les bulletins de sécurité (WordPress.org, sites spécialisés comme Help Net Security).
Utiliser un pare-feu applicatif (WAF)
Un WAF, qu’il soit basé sur le cloud (Cloudflare) ou sur le serveur (ModSecurity), permet de bloquer les requêtes malveillantes avant qu’elles n’atteignent votre site. Il est particulièrement efficace contre les injections SQL et les tentatives d’exploitation d’API. L’ANSSI recommande l’utilisation de WAF dans le cadre de la sécurisation des applications web.
Limiter l’accès à l’API REST
L’API REST de WordPress est une porte d’entrée potentielle. Si vous n’utilisez pas l’API pour des fonctionnalités publiques, bloquez l’accès anonyme avec un plugin ou une règle serveur. Pour les utilisateurs authentifiés, appliquez le principe du moindre privilège : chaque rôle ne doit avoir accès qu’aux endpoints nécessaires.
Effectuer des audits de sécurité réguliers
Utilisez des outils comme WPScan ou des services de pentest pour identifier les vulnérabilités avant les attaquants. La conformité à des normes comme l’ISO 27001 ou le RGPD exige une gestion proactive des correctifs. Documentez vos actions et conservez un historique des mises à jour.
Conclusion : agir sans délai pour protéger votre site
Les deux vulnérabilités WordPress CVE-2026-60137 et CVE-2026-63030 constituent une menace sérieuse pour tout site utilisant les versions 6.9 ou 6.8. La mise à jour vers WordPress 7.0.2 (ou 6.9.5 / 6.8.6) est la seule solution pérenne. En attendant, appliquez les mesures d’atténuation temporaires, mais ne tardez pas à appliquer le correctif. La sécurité de votre site WordPress dépend de votre réactivité. N’attendez pas qu’une intrusion se produise pour agir : mettez à jour dès aujourd’hui.
Sources : Help Net Security, Searchlight Cyber, Assetnote, WordPress.org, ANSSI.