Cybersécurité à l'instant0Ajouter aux favoris

Un défaut d'assainissement dans le noyau de WordPress laisse un attaquant non authentifié exécuter du code arbitraire sur le serveur. Patch immédiat.
The Hacker News rapporte le 17 juillet 2026 une faille baptisée wp2shell affectant le cœur de WordPress. Selon l'article, un attaquant non authentifié peut déclencher une exécution de code à distance (RCE - Remote Code Execution) via une requête HTTP forgée, sans avoir besoin d'un compte utilisateur ni d'un plugin tiers vulnérable.
Toute instance WordPress non patchée exposée sur Internet. WordPress représente plus de 40 % du web (chiffre récurrent des baromètres W3Techs), donc la surface d'attaque est massive. Les hébergeurs mutualisés et les sites e-commerce WooCommerce sont en première ligne - un site marchand compromis, c'est cartes bancaires, comptes clients et redirections malveillantes en cascade.
Une RCE unauthenticated dans le core WordPress, c'est le pire scénario possible pour la plateforme : ni social engineering, ni compte à voler, ni plugin exotique - un simple scanner Internet suffit à exploiter en masse. La communauté a déjà connu ce genre d'événement (les failles REST API de 2017 ont défacé plus d'un million de sites en quelques jours). Le nom wp2shell évoque la finalité de l'exploit : passer directement du web au shell sur le serveur.
Le pattern classique après divulgation : scan Internet massif dans les 24-72 heures, exploitation de masse pour déposer des webshells, puis persistance discrète pour du minage crypto, du spam SEO ou de l'accès revendu sur les marchés underground.
WP_AUTO_UPDATE_CORE activé pour les patchs mineurs.find /var/www -name "*.php" -mtime -3 pour repérer des fichiers PHP créés récemment (candidat webshell).wp-config.php (via wordpress.org/secret-key).WordPress motorise environ 43 % des sites web dans le monde selon W3Techs. Une RCE unauthenticated dans son cœur menace potentiellement des dizaines de millions d'installations.
Au moment où nous écrivons, l'article de The Hacker News reste notre source primaire. Le numéro de CVE, la version exacte des versions vulnérables et l'existence d'un PoC public devront être vérifiés sur les advisories officielles (wordpress.org, MITRE CVE, NVD) dès leur publication. Nous mettrons à jour cette note dès confirmation.
Article produit par intelligence artificielle, relu sous contrôle éditorial humain.
Connectez-vous pour rejoindre la discussion.
Soyez le premier à commenter.