La Direction générale de la sécurité des systèmes d’information (DGSSI), relevant de l’Administration de la défense nationale, a lancé une alerte concernant l’existence de vulnérabilités critiques affectant plusieurs extensions de la plateforme WordPress, susceptibles d’être exploitées dans le cadre de cyberattaques visant des sites web.
Dans un bulletin de sécurité publié le 13 mars 2026, l’organisme indique que ces failles présentent un niveau de risque élevé, car elles pourraient permettre à des attaquants d’exécuter du code à distance, de télécharger des fichiers malveillants sur les serveurs ciblés ou encore de supprimer des fichiers essentiels au fonctionnement des sites compromis.
Les vulnérabilités concernent notamment plusieurs extensions populaires de WordPress, dont WooCommerce, Ally et wpDiscuz, en particulier dans leurs versions anciennes qui n’ont pas encore été mises à jour.
A noter que WordPress est un système de gestion de contenu (CMS) utilisé pour concevoir et administrer des sites internet sans nécessiter de compétences techniques avancées. Très répandu dans le monde, il alimente aujourd’hui une large part des sites web, qu’il s’agisse de plateformes institutionnelles, de médias en ligne ou de sites marchands. Son fonctionnement repose notamment sur l’utilisation d’extensions – appelées « plugins » – qui permettent d’ajouter des fonctionnalités supplémentaires aux sites.
Or, selon la DGSSI, l’exploitation des failles identifiées pourrait permettre aux cybercriminels d’accéder à des informations confidentielles, d’élever leurs privilèges au sein du site ou même de prendre le contrôle du compte administrateur. Dans certains cas, cela pourrait conduire à la compromission complète du site et à la modification ou à la suppression de son contenu.
Face à ces risques, la DGSSI appelle les administrateurs de sites web et les responsables techniques à procéder immédiatement à la mise à jour des extensions concernées et à se référer aux bulletins de sécurité publiés par les développeurs de WordPress afin d’appliquer les correctifs nécessaires. Cette alerte s’inscrit dans un contexte marqué par la multiplication des incidents de cybersécurité. Le Centre de veille, de détection et de réaction aux attaques informatiques (MaCERT), relevant de la DGSSI, indique avoir traité 879 incidents cybernétiques entre janvier et septembre 2025, dont 109 ont nécessité des interventions urgentes de ses équipes.
Présentant le projet de budget annexe de l’Administration de la défense nationale pour l’année 2026, le ministre délégué chargé de ce département, Abdellatif Loudiyi, avait fait état d’un audit de 76 applications web appartenant à des institutions sensibles, qui a permis de détecter des vulnérabilités critiques dans 20 d’entre elles. Durant la même période, le centre MaCERT a diffusé 511 bulletins de sécurité, dont 248 classés critiques, afin d’alerter les acteurs nationaux et de leur fournir les informations nécessaires pour corriger rapidement les failles identifiées.
Pour les experts, ces données illustrent l’importance croissante de la cybersécurité dans la protection des infrastructures numériques, et rappellent la nécessité pour les organisations, publiques comme privées, de maintenir leurs systèmes et leurs logiciels constamment à jour afin de limiter les risques de cyberattaques.
Dans un bulletin de sécurité publié le 13 mars 2026, l’organisme indique que ces failles présentent un niveau de risque élevé, car elles pourraient permettre à des attaquants d’exécuter du code à distance, de télécharger des fichiers malveillants sur les serveurs ciblés ou encore de supprimer des fichiers essentiels au fonctionnement des sites compromis.
Les vulnérabilités concernent notamment plusieurs extensions populaires de WordPress, dont WooCommerce, Ally et wpDiscuz, en particulier dans leurs versions anciennes qui n’ont pas encore été mises à jour.
A noter que WordPress est un système de gestion de contenu (CMS) utilisé pour concevoir et administrer des sites internet sans nécessiter de compétences techniques avancées. Très répandu dans le monde, il alimente aujourd’hui une large part des sites web, qu’il s’agisse de plateformes institutionnelles, de médias en ligne ou de sites marchands. Son fonctionnement repose notamment sur l’utilisation d’extensions – appelées « plugins » – qui permettent d’ajouter des fonctionnalités supplémentaires aux sites.
Or, selon la DGSSI, l’exploitation des failles identifiées pourrait permettre aux cybercriminels d’accéder à des informations confidentielles, d’élever leurs privilèges au sein du site ou même de prendre le contrôle du compte administrateur. Dans certains cas, cela pourrait conduire à la compromission complète du site et à la modification ou à la suppression de son contenu.
Face à ces risques, la DGSSI appelle les administrateurs de sites web et les responsables techniques à procéder immédiatement à la mise à jour des extensions concernées et à se référer aux bulletins de sécurité publiés par les développeurs de WordPress afin d’appliquer les correctifs nécessaires. Cette alerte s’inscrit dans un contexte marqué par la multiplication des incidents de cybersécurité. Le Centre de veille, de détection et de réaction aux attaques informatiques (MaCERT), relevant de la DGSSI, indique avoir traité 879 incidents cybernétiques entre janvier et septembre 2025, dont 109 ont nécessité des interventions urgentes de ses équipes.
Présentant le projet de budget annexe de l’Administration de la défense nationale pour l’année 2026, le ministre délégué chargé de ce département, Abdellatif Loudiyi, avait fait état d’un audit de 76 applications web appartenant à des institutions sensibles, qui a permis de détecter des vulnérabilités critiques dans 20 d’entre elles. Durant la même période, le centre MaCERT a diffusé 511 bulletins de sécurité, dont 248 classés critiques, afin d’alerter les acteurs nationaux et de leur fournir les informations nécessaires pour corriger rapidement les failles identifiées.
Pour les experts, ces données illustrent l’importance croissante de la cybersécurité dans la protection des infrastructures numériques, et rappellent la nécessité pour les organisations, publiques comme privées, de maintenir leurs systèmes et leurs logiciels constamment à jour afin de limiter les risques de cyberattaques.
