Dans ce que les experts en sécurité appellent « l'apogée de 2026 », WordPress nous rappelle une fois de plus que même une installation par défaut parfaitement propre peut devenir un véritable festin pour les pirates informatiques, grâce à une simple requête HTTP anonyme. Mesdames et Messieurs, voici wp2shell (CVE-2026-63030) : la nouvelle vulnérabilité d'exécution de code à distance avant authentification présente dans WordPress 6.9 et 7.0. Aucune connexion requise. Aucun plugin. Aucune configuration particulière. Il suffit de diriger votre paquet malveillant vers un site vulnérable et le tour est joué. C'est d'une simplicité presque élégante. Cette faille, découverte par les chercheurs d'Assetnote et signalée de manière responsable, exploite astucieusement la gestion des requêtes par lots de l'API REST, combinée à une injection SQL. Imaginez-la comme l'équivalent logiciel de laisser la porte d'entrée grande ouverte tout en publiant sur les réseaux sociaux des photos de votre nouvelle serrure connectée ultra-sécurisée. WordPress a déployé des correctifs dans les versions 7.0.2 et 6.9.5 le 17 juillet, avec des mises à jour automatiques forcées, car apparemment suffisamment de propriétaires de sites considèrent les correctifs comme du fil dentaire facultatif.
Si vous utilisez une version de WordPress comprise entre 6.9.0 et 6.9.4 ou entre 7.0.0 et 7.0.1, félicitations ! Votre site était potentiellement vulnérable à toute personne possédant des compétences de base en programmation et un esprit de revanche (ou simplement de l'ennui). Le point de terminaison de traitement par lots de l'API REST était inactif depuis la version 5.6, attendant patiemment son heure de gloire. WordPress.org mérite des félicitations pour sa réactivité et les mises à jour forcées. Mais soyons réalistes : dans un monde où des millions de sites fonctionnent encore avec des versions obsolètes, telles des fossiles numériques, le message « Mettez à jour maintenant » sonne moins comme un conseil que comme un appel au secours.
Que faire ? (Attention : ne négligez pas ce point)
Mettez à jour immédiatement vers la version 7.0.2 ou 6.9.5. Oui, maintenant. Votre thème personnalisé sera conservé.
Vérifiez votre version et effectuez un test sur l'outil de vérification des chercheurs (car il semblerait que ce soit la confiance accordée aux mises à jour automatiques qui nous ait menés à cette situation).
Analysez les journaux à la recherche de requêtes par lots suspectes — l'équivalent numérique de la vérification des traces de boue dans votre salon.
Si la mise à jour est impossible (on connaît tous les excuses), bloquez le point de terminaison du traitement par lots ou utilisez des solutions temporaires. Mais n'oubliez pas : les pansements ne réparent pas les artères.
Pour les plus paranoïaques (ou les plus responsables), ceci est un rappel supplémentaire que « l'installation par défaut sans aucun plugin » n'est pas aussi avantageuse que certains le pensent.






