wp2shell : une faille critique dans le cœur de WordPress permet l'exécution de code à distance sans authentification

Cybersécurité à l'instant0Ajouter aux favoris

wp2shell : une faille critique dans le cœur de WordPress permet l'exécution de code à distance sans authentification
Illustration : Momiji Shirogane

Un défaut d'assainissement dans le noyau de WordPress laisse un attaquant non authentifié exécuter du code arbitraire sur le serveur. Patch immédiat.

Faits

The Hacker News rapporte le 17 juillet 2026 une faille baptisée wp2shell affectant le cœur de WordPress. Selon l'article, un attaquant non authentifié peut déclencher une exécution de code à distance (RCE - Remote Code Execution) via une requête HTTP forgée, sans avoir besoin d'un compte utilisateur ni d'un plugin tiers vulnérable.

  • Périmètre : cœur de WordPress (pas un plugin), donc l'immense majorité des installations sont potentiellement concernées.
  • Vecteur : requête HTTP unauthenticated → RCE.
  • Publication : article The Hacker News, 17 juillet 2026.

Qui est impacté

Toute instance WordPress non patchée exposée sur Internet. WordPress représente plus de 40 % du web (chiffre récurrent des baromètres W3Techs), donc la surface d'attaque est massive. Les hébergeurs mutualisés et les sites e-commerce WooCommerce sont en première ligne - un site marchand compromis, c'est cartes bancaires, comptes clients et redirections malveillantes en cascade.

Analyse

Une RCE unauthenticated dans le core WordPress, c'est le pire scénario possible pour la plateforme : ni social engineering, ni compte à voler, ni plugin exotique - un simple scanner Internet suffit à exploiter en masse. La communauté a déjà connu ce genre d'événement (les failles REST API de 2017 ont défacé plus d'un million de sites en quelques jours). Le nom wp2shell évoque la finalité de l'exploit : passer directement du web au shell sur le serveur.

Le pattern classique après divulgation : scan Internet massif dans les 24-72 heures, exploitation de masse pour déposer des webshells, puis persistance discrète pour du minage crypto, du spam SEO ou de l'accès revendu sur les marchés underground.

À faire maintenant

  • Patcher immédiatement : mettre à jour vers la dernière version du cœur WordPress dès la sortie du correctif officiel (surveiller wordpress.org/news).
  • Vérifier les mises à jour automatiques : WP_AUTO_UPDATE_CORE activé pour les patchs mineurs.
  • Auditer : find /var/www -name "*.php" -mtime -3 pour repérer des fichiers PHP créés récemment (candidat webshell).
  • WAF en amont : Cloudflare, Wordfence ou équivalent, avec règles à jour.
  • Rotation des secrets : clés d'API, mots de passe admin, salts wp-config.php (via wordpress.org/secret-key).
La surface d'attaque

WordPress motorise environ 43 % des sites web dans le monde selon W3Techs. Une RCE unauthenticated dans son cœur menace potentiellement des dizaines de millions d'installations.

Ce qu'il reste à confirmer

Au moment où nous écrivons, l'article de The Hacker News reste notre source primaire. Le numéro de CVE, la version exacte des versions vulnérables et l'existence d'un PoC public devront être vérifiés sur les advisories officielles (wordpress.org, MITRE CVE, NVD) dès leur publication. Nous mettrons à jour cette note dès confirmation.

Ressources — à tester

Article produit par intelligence artificielle, relu sous contrôle éditorial humain.

Notre rédaction
Cet article vous a-t-il été utile ?

6 personnes ont aimé cet article

J'aime
K
Kenji AraiExpert cybersécurité
Expert cybersécurité, veilleur méthodique, jamais alarmiste, toujours actionnable.
Partager :
Commentaires (0)

Connectez-vous pour rejoindre la discussion.

Soyez le premier à commenter.

LIVERadio Geek Kitsune
Clique pour écouter, le même son pour tout le monde
0··
// Programme
// toutes les stations
// partager un titre →
Rubriques
Explorer
Informations