{"id":3141,"date":"2026-06-29T23:00:00","date_gmt":"2026-06-29T23:00:00","guid":{"rendered":"https:\/\/smartcoding.com.au\/pourquoi-les-plugins-de-gestion-de-fichiers-vulnerables-continuent-de-faire-pirater-les-sites-wordpress\/"},"modified":"2026-06-29T23:00:00","modified_gmt":"2026-06-29T23:00:00","slug":"pourquoi-les-plugins-de-gestion-de-fichiers-vulnerables-continuent-de-faire-pirater-les-sites-wordpress","status":"publish","type":"post","link":"https:\/\/smartcoding.com.au\/fr\/pourquoi-les-plugins-de-gestion-de-fichiers-vulnerables-continuent-de-faire-pirater-les-sites-wordpress\/","title":{"rendered":"Pourquoi les plugins de gestion de fichiers vuln\u00e9rables continuent de faire pirater les sites WordPress"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Si vous maintenez suffisamment de sites WordPress, vous finissez par reconna\u00eetre la m\u00eame cat\u00e9gorie de plugin qui revient compromission apr\u00e8s compromission. Les plugins de gestion de fichiers sont en t\u00eate de cette liste. Ils sont populaires parce qu&rsquo;ils sont utiles. Ils sont dangereux parce qu&rsquo;ils confient une capacit\u00e9 tr\u00e8s puissante \u00e0 quiconque peut les atteindre. Et historiquement, plusieurs des gestionnaires de fichiers les plus install\u00e9s ont pr\u00e9sent\u00e9 des vuln\u00e9rabilit\u00e9s critiques permettant l&rsquo;ex\u00e9cution de code \u00e0 distance sans authentification.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Cet article explique pourquoi les plugins de gestion de fichiers constituent un vecteur d&rsquo;attaque aussi constant, examine une compromission r\u00e9elle et r\u00e9cente d&rsquo;une agence de Sydney attribu\u00e9e \u00e0 l&rsquo;un d&rsquo;eux, et propose des alternatives plus s\u00fbres.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Ce que font les plugins de gestion de fichiers<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Un plugin de gestion de fichiers WordPress offre aux administrateurs un explorateur de fichiers web au sein du tableau de bord. Depuis le panneau d&rsquo;administration, vous pouvez parcourir les r\u00e9pertoires, modifier des fichiers, en t\u00e9l\u00e9verser de nouveaux, changer les permissions et, dans certains cas, ex\u00e9cuter des commandes c\u00f4t\u00e9 serveur. L&rsquo;argument, c&rsquo;est la commodit\u00e9 : vous pouvez r\u00e9parer un fichier d\u00e9faillant sans avoir besoin d&rsquo;identifiants SFTP ni d&rsquo;un outil de transfert de fichiers distinct.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Le probl\u00e8me, c&rsquo;est que cette capacit\u00e9 est si puissante que la moindre faille du plugin donne \u00e0 un attaquant exactement la m\u00eame capacit\u00e9. Si le plugin pr\u00e9sente une vuln\u00e9rabilit\u00e9 permettant \u00e0 une requ\u00eate de contourner la v\u00e9rification d&rsquo;administrateur, l&rsquo;attaquant s&rsquo;est vu remettre, de fait, un web shell avec un acc\u00e8s complet au syst\u00e8me de fichiers.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">L&rsquo;historique<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La famille wp-file-manager en particulier a un historique long et bien document\u00e9 de vuln\u00e9rabilit\u00e9s critiques. La plus c\u00e9l\u00e8bre fut CVE-2020-25213, une ex\u00e9cution de code \u00e0 distance sans authentification dans la biblioth\u00e8que elFinder int\u00e9gr\u00e9e, qui a touch\u00e9 des millions de sites et a \u00e9t\u00e9 exploit\u00e9e \u00e0 tr\u00e8s grande \u00e9chelle. Plusieurs avis ult\u00e9rieurs ont depuis \u00e9t\u00e9 publi\u00e9s pour divers forks et versions int\u00e9gr\u00e9es.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ce n&rsquo;est pas propre \u00e0 un seul plugin ni \u00e0 un seul auteur. Toute la cat\u00e9gorie est confront\u00e9e au m\u00eame probl\u00e8me. Les biblioth\u00e8ques de gestion de fichiers int\u00e9gr\u00e9es sont volumineuses, complexes et difficiles \u00e0 maintenir \u00e0 la fois compl\u00e8tes en fonctionnalit\u00e9s et s\u00fbres. Lorsqu&rsquo;une vuln\u00e9rabilit\u00e9 est d\u00e9couverte dans la biblioth\u00e8que en amont, elle se propage \u00e0 chaque plugin WordPress qui l&#8217;embarque.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Une \u00e9tude de cas r\u00e9cente d&rsquo;une agence de Sydney<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">En mai 2026, nous avons audit\u00e9 le site d&rsquo;une agence de Sydney qui avait \u00e9t\u00e9 compromis. L&rsquo;audit forensique a identifi\u00e9 quinze fichiers malveillants d\u00e9pos\u00e9s \u00e0 la racine du document, organis\u00e9s en cinq r\u00e9pertoires qui reprenaient les noms de pages WordPress r\u00e9elles. Les fichiers malveillants mettaient en \u0153uvre une attaque de cloaking SEO, servant du contenu de spam \u00e0 Googlebot tout en servant du HTML de pages-portails aux visiteurs humains.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Le suspect le plus probable comme point d&rsquo;entr\u00e9e \u00e9tait un plugin de gestion de fichiers obsol\u00e8te, install\u00e9 puis oubli\u00e9. Le plugin n&rsquo;avait pas \u00e9t\u00e9 mis \u00e0 jour. La famille du plugin comptait plusieurs avis historiques d&rsquo;ex\u00e9cution de code \u00e0 distance. Le m\u00e9canisme par lequel les fichiers malveillants ont \u00e9t\u00e9 d\u00e9pos\u00e9s \u00e9tait presque certainement l&rsquo;exploitation de l&rsquo;une de ces vuln\u00e9rabilit\u00e9s. Le changement pr\u00e9ventif le plus efficace pour ce site aurait \u00e9t\u00e9 de supprimer enti\u00e8rement le plugin avant la compromission.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Pourquoi les gens installent ces plugins au d\u00e9part<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La motivation est toujours la m\u00eame. Quelqu&rsquo;un devait r\u00e9parer un fichier, n&rsquo;avait pas configur\u00e9 le SFTP et a install\u00e9 un gestionnaire de fichiers depuis le r\u00e9pertoire des plugins. Le plugin a fonctionn\u00e9, la r\u00e9paration a \u00e9t\u00e9 faite, et le plugin est rest\u00e9 install\u00e9. Cinq ans plus tard, le probl\u00e8me d&rsquo;origine est oubli\u00e9 depuis longtemps et le plugin est toujours actif.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La commodit\u00e9 qui a motiv\u00e9 l&rsquo;installation \u00e9tait un besoin ponctuel. La surface d&rsquo;attaque qu&rsquo;elle a cr\u00e9\u00e9e est permanente tant que le plugin reste sur le site.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Quoi utiliser \u00e0 la place<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Pour presque tous les cas d&rsquo;usage que r\u00e9sout un plugin de gestion de fichiers, il existe une alternative plus s\u00fbre.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>SFTP.<\/strong> Tout h\u00e9bergeur WordPress r\u00e9put\u00e9 fournit un acc\u00e8s SFTP. Un client gratuit comme FileZilla ou Cyberduck vous offre la m\u00eame capacit\u00e9 de parcours et d&rsquo;\u00e9dition de fichiers sans l&rsquo;exposer au web public. L&rsquo;authentification se fait au niveau de la couche SSH, et non comme un endpoint de plugin.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Le panneau de contr\u00f4le de l&rsquo;h\u00e9bergement.<\/strong> La plupart des h\u00e9bergeurs int\u00e8grent un gestionnaire de fichiers \u00e0 leur panneau de contr\u00f4le, accessible uniquement apr\u00e8s authentification \u00e0 votre compte d&rsquo;h\u00e9bergement. C&rsquo;est bien plus s\u00fbr qu&rsquo;un plugin WordPress, car le chemin d&rsquo;acc\u00e8s ne se trouve pas sur l&rsquo;URL publique du site.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>SSH et wp cli.<\/strong> Pour les utilisateurs techniques, l&rsquo;acc\u00e8s en ligne de commande \u00e0 votre h\u00e9bergement vous donne tout ce que fait un gestionnaire de fichiers, et plus encore, sans aucun plugin expos\u00e9 au web.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>L&rsquo;\u00e9diteur int\u00e9gr\u00e9 de th\u00e8mes et de plugins de WordPress, en dernier recours.<\/strong> WordPress inclut lui-m\u00eame un \u00e9diteur basique pour les fichiers de th\u00e8mes et de plugins. Il n&rsquo;est pas aussi complet qu&rsquo;un plugin de gestion de fichiers, et la bonne pratique consiste \u00e0 le d\u00e9sactiver dans wp-config.php avec DISALLOW_FILE_EDIT, mais il couvre le cas courant de l&rsquo;\u00e9dition d&rsquo;un fichier pr\u00e9cis sans ajouter de surface d&rsquo;attaque li\u00e9e aux plugins.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Si vous avez absolument besoin d&rsquo;un plugin de gestion de fichiers<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Si votre flux de travail exige r\u00e9ellement un plugin de gestion de fichiers, traitez-le comme un outil \u00e0 privil\u00e8ges. Installez-le uniquement sur les sites o\u00f9 il est v\u00e9ritablement n\u00e9cessaire. Mettez-le \u00e0 jour imm\u00e9diatement \u00e0 chaque version. Restreignez son acc\u00e8s par des mesures suppl\u00e9mentaires, comme une liste blanche d&rsquo;IP ou une authentification HTTP basique au niveau du serveur. D\u00e9sactivez-le ou d\u00e9sinstallez-le d\u00e8s qu&rsquo;il n&rsquo;est plus n\u00e9cessaire.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Surtout, ne le laissez pas actif sur un site qui n&rsquo;a pas \u00e9t\u00e9 touch\u00e9 depuis des mois. Un plugin de gestion de fichiers inactif est un futur incident qui n&rsquo;attend que de se produire.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">La le\u00e7on plus large<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Les plugins de gestion de fichiers sont l&rsquo;illustration la plus claire d&rsquo;un principe plus g\u00e9n\u00e9ral. La commodit\u00e9 et la s\u00e9curit\u00e9 sont en tension. Tout ce qui vous donne une capacit\u00e9 puissante via l&rsquo;URL de votre site est aussi une cible puissante s&rsquo;il comporte une faille. Le principe s&rsquo;applique aux plugins de sauvegarde avec restauration via le web, aux plugins de s\u00e9curit\u00e9 avec analyse compl\u00e8te du syst\u00e8me de fichiers, et \u00e0 tout outil qui expose des actions c\u00f4t\u00e9 serveur \u00e0 des requ\u00eates authentifi\u00e9es.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pour chacun d&rsquo;eux, demandez-vous si la capacit\u00e9 doit vivre sur le site ou si elle peut vivre dans un endroit plus s\u00fbr. Souvent la r\u00e9ponse est l&rsquo;endroit plus s\u00fbr, et le plugin WordPress peut \u00eatre supprim\u00e9 enti\u00e8rement.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Besoin d&rsquo;un coup de main ?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Si vous avez un plugin de gestion de fichiers sur votre site WordPress et que vous ne savez pas si vous en avez encore besoin, l&rsquo;\u00e9quipe de <a href=\"https:\/\/defyn.com.au\" rel=\"noopener\">Defyn<\/a> peut examiner votre flux de travail, mettre en place des alternatives plus s\u00fbres et supprimer proprement le plugin, refermant ainsi l&rsquo;une des plus grandes portes qu&rsquo;utilisent les attaquants sur les sites WordPress.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les plugins de gestion de fichiers ont caus\u00e9 plus de compromissions WordPress que presque toute autre cat\u00e9gorie de plugin. Voici pourquoi ils sont si risqu\u00e9s et quoi utiliser \u00e0 la place.<\/p>\n","protected":false},"author":2,"featured_media":2036,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_wpcom_ai_launchpad_first_post":false,"_jetpack_feature_clip_id":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"{title}\n\n{excerpt}\n\n{url}","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2},"_wpas_customize_per_network":false,"jetpack_post_was_ever_published":false},"categories":[1071],"tags":[],"class_list":["post-3141","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-website-support-maintenance"],"jetpack_publicize_connections":[],"featured_image_src":"https:\/\/smartcoding.com.au\/wp-content\/uploads\/2026\/06\/wordpress-vulnerable-plugins-hacked-600x400.jpg?crop=1","featured_image_src_square":"https:\/\/smartcoding.com.au\/wp-content\/uploads\/2026\/06\/wordpress-vulnerable-plugins-hacked-600x600.jpg?crop=1","author_info":{"display_name":"Claire Smith","author_link":"https:\/\/smartcoding.com.au\/fr\/author\/claire\/"},"jetpack_featured_media_url":"https:\/\/smartcoding.com.au\/wp-content\/uploads\/2026\/06\/wordpress-vulnerable-plugins-hacked.jpg","jetpack_sharing_enabled":true,"jetpack_shortlink":"https:\/\/wp.me\/phbW1n-OF","_links":{"self":[{"href":"https:\/\/smartcoding.com.au\/fr\/wp-json\/wp\/v2\/posts\/3141","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/smartcoding.com.au\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/smartcoding.com.au\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/smartcoding.com.au\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/smartcoding.com.au\/fr\/wp-json\/wp\/v2\/comments?post=3141"}],"version-history":[{"count":0,"href":"https:\/\/smartcoding.com.au\/fr\/wp-json\/wp\/v2\/posts\/3141\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/smartcoding.com.au\/fr\/wp-json\/wp\/v2\/media\/2036"}],"wp:attachment":[{"href":"https:\/\/smartcoding.com.au\/fr\/wp-json\/wp\/v2\/media?parent=3141"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/smartcoding.com.au\/fr\/wp-json\/wp\/v2\/categories?post=3141"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/smartcoding.com.au\/fr\/wp-json\/wp\/v2\/tags?post=3141"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}