{"id":474,"date":"2026-04-09T19:39:22","date_gmt":"2026-04-09T18:39:22","guid":{"rendered":"https:\/\/vsx.is\/?p=474"},"modified":"2026-04-09T19:39:23","modified_gmt":"2026-04-09T18:39:23","slug":"pourquoi-les-plugins-wordpress-sont-un-cauchemar-pour-la-securite-et-comment-emdash-y-remedie","status":"publish","type":"post","link":"https:\/\/vsx.is\/fr\/proc-jsou-wordpress-pluginy-bezpecnostni-nocni-mura-a-jak-to-resi-emdash\/","title":{"rendered":"Pourquoi les plugins WordPress sont un cauchemar en mati\u00e8re de s\u00e9curit\u00e9 - et comment EmDash y rem\u00e9die"},"content":{"rendered":"

WordPress \u00e9quipe plus de 40 sites %. Mais son architecture de plugins est responsable de milliers de vuln\u00e9rabilit\u00e9s par an. Cloudflare<\/a> propose une autre voie.<\/em><\/p>\n\n\n\n

\n\n\n\n

Un probl\u00e8me que WordPress ne peut pas r\u00e9soudre de l'int\u00e9rieur<\/h2>\n\n\n\n

Lorsque vous installez un plugin dans WordPress, vous lui donnez un acc\u00e8s complet \u00e0 la base de donn\u00e9es et au syst\u00e8me de fichiers de l'ensemble du site. Il n'y a pas d'isolement. Le plugin de formulaire de contact a techniquement les m\u00eames autorisations que le plugin de gestion du commerce \u00e9lectronique - ils voient tous deux tout : les donn\u00e9es de l'utilisateur, le contenu, la configuration, les d\u00e9tails du paiement.<\/p>\n\n\n\n

Ce n'est pas la faute d'un plugin sp\u00e9cifique. Il s'agit d'un principe architectural de WordPress datant de 2003. Un plugin est un script PHP qui se branche directement sur le syst\u00e8me central. WordPress lui fait enti\u00e8rement confiance.<\/p>\n\n\n\n

Et c'est l\u00e0 que le probl\u00e8me commence.<\/p>\n\n\n\n

Des chiffres qui devraient inqui\u00e9ter tous les webmasters<\/h2>\n\n\n\n

L'entreprise de s\u00e9curit\u00e9 Patchstack suit syst\u00e9matiquement les vuln\u00e9rabilit\u00e9s de l'\u00e9cosyst\u00e8me WordPress. Les donn\u00e9es recueillies au cours des derni\u00e8res ann\u00e9es r\u00e9v\u00e8lent une tendance claire :<\/p>\n\n\n\n

Ann\u00e9e 2024<\/strong> a apport\u00e9 7 966 nouvelles vuln\u00e9rabilit\u00e9s, soit une augmentation de 34 % par rapport \u00e0 l'ann\u00e9e pr\u00e9c\u00e9dente. Cela repr\u00e9sente une moyenne de 22 nouvelles failles de s\u00e9curit\u00e9 par jour. Parmi celles-ci, 96 % proviennent des plugins et 4 % des mod\u00e8les. Seules 7 vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 trouv\u00e9es dans le noyau de WordPress lui-m\u00eame.<\/p>\n\n\n\n

Premier semestre 2025<\/strong> a ajout\u00e9 6 700 vuln\u00e9rabilit\u00e9s. Toutefois, un autre chiffre est plus important que le nombre lui-m\u00eame : 41,5 % d'entre elles \u00e9taient effectivement exploitables dans la pratique, contre 30,4 % au cours de la m\u00eame p\u00e9riode de l'ann\u00e9e derni\u00e8re. L'attaquant n'a eu besoin d'aucun identifiant de connexion.<\/p>\n\n\n\n

Les types de vuln\u00e9rabilit\u00e9s les plus courants sont rest\u00e9s les m\u00eames depuis des ann\u00e9es : XSS (Cross-Site Scripting), CSRF (Cross-Site Request Forgery), contr\u00f4le d'acc\u00e8s non respect\u00e9 et inclusion de fichiers locaux.<\/p>\n\n\n\n

Le mythe du plugin populaire<\/h2>\n\n\n\n

L'hypoth\u00e8se la plus r\u00e9pandue est que les plugins bien connus, qui comptent des millions d'installations, sont s\u00fbrs parce qu'ils sont contr\u00f4l\u00e9s par une large communaut\u00e9. Les donn\u00e9es indiquent le contraire.<\/p>\n\n\n\n

En 2024, plus de 1 000 vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans des plugins ayant plus de 100 000 installations actives. Des vuln\u00e9rabilit\u00e9s critiques ont \u00e9t\u00e9 d\u00e9couvertes dans des outils aussi r\u00e9pandus que LiteSpeed Cache, Really Simple SSL et The Events Calendar. Patchstack a vers\u00e9 sa prime la plus \u00e9lev\u00e9e en 2024 - 16 400 dollars - pour une vuln\u00e9rabilit\u00e9 critique dans LiteSpeed Cache, un plugin comptant des millions d'utilisateurs.<\/p>\n\n\n\n

La popularit\u00e9 n'est pas synonyme de s\u00e9curit\u00e9. Elle est synonyme de cible plus importante.<\/p>\n\n\n\n

Pourquoi WordPress ne peut pas se contenter de r\u00e9parer<\/h2>\n\n\n\n

L'architecture des plugins est si profond\u00e9ment ancr\u00e9e dans le fonctionnement de WordPress qu'elle ne peut \u00eatre modifi\u00e9e sans rompre la compatibilit\u00e9 ascendante avec des dizaines de milliers de plugins existants. Chaque plugin suppose un acc\u00e8s complet \u00e0 la base de donn\u00e9es. Supprimer cet acc\u00e8s signifierait que la plupart des plugins cesseraient de fonctionner.<\/p>\n\n\n\n

WordPress aborde donc la s\u00e9curit\u00e9 par d'autres moyens : mises \u00e0 jour r\u00e9guli\u00e8res, plugins de s\u00e9curit\u00e9 (comme Patchstack), r\u00e8gles de pare-feu, principes de permissions minimales au niveau du r\u00f4le de l'utilisateur. Tout cela est utile, mais ne s'attaque pas \u00e0 la cause premi\u00e8re : l'architecture fait implicitement confiance \u00e0 tous les plugins.<\/p>\n\n\n\n

\u00c0 cela s'ajoute le probl\u00e8me des plugins abandonn\u00e9s. En 2024, 1 614 plugins et mod\u00e8les vuln\u00e9rables ont \u00e9t\u00e9 retir\u00e9s de WordPress.org gr\u00e2ce \u00e0 des chercheurs en s\u00e9curit\u00e9. Mais beaucoup d'entre eux restent install\u00e9s sur des sites r\u00e9els.<\/p>\n\n\n\n

EmDash : une approche diff\u00e9rente de la s\u00e9curit\u00e9 des plugins<\/h2>\n\n\n\n

En avril 2026, Cloudflare a pr\u00e9sent\u00e9 EmDash, un syst\u00e8me de gestion de contenu (CMS) open-source qu'il qualifie de \u201esuccesseur spirituel de WordPress\u201c. Il en est \u00e0 la version 0.1.0 - early developer. b\u00eata<\/a> con\u00e7u principalement pour les tests et le d\u00e9veloppement. Mais son architecture de s\u00e9curit\u00e9 m\u00e9rite qu'on s'y attarde, m\u00eame \u00e0 ce stade.<\/p>\n\n\n\n

Un bac \u00e0 sable au lieu d'un acc\u00e8s complet<\/h3>\n\n\n\n

EmDash r\u00e9sout le principal probl\u00e8me architectural de WordPress : les plugins fonctionnent dans un environnement isol\u00e9 (sandbox) et doivent d\u00e9clarer \u00e0 l'avance ce \u00e0 quoi ils ont besoin d'acc\u00e9der. Le plugin d'envoi d'e-mails obtient les autorisations \u201eemail:send\u201c et \u201eread:content\u201c, rien de plus. Il ne peut pas lire la base de donn\u00e9es des utilisateurs, acc\u00e9der aux donn\u00e9es de paiement ou modifier le contenu d'autres plugins.<\/p>\n\n\n\n

Sur Cloudflare Workers, chaque plugin fonctionne dans son propre environnement isol\u00e9 V8. M\u00eame si un plugin est compromis, sa port\u00e9e est limit\u00e9e aux op\u00e9rations explicitement autoris\u00e9es. Un formulaire de contact compromis ne peut pas donner acc\u00e8s \u00e0 l'ensemble du site.<\/p>\n\n\n\n

Le mod\u00e8le de s\u00e9curit\u00e9 complet d'EmDash est \u00e9troitement li\u00e9 \u00e0 l'architecture des travailleurs de Cloudflare et \u00e0 leur mod\u00e8le d'isolation. Pour les d\u00e9ploiements non-Cloudflare, il est conseill\u00e9 de v\u00e9rifier quelles garanties de s\u00e9curit\u00e9 sont maintenues dans la pratique.<\/p>\n\n\n\n

Authentification sans mot de passe<\/h3>\n\n\n\n

Par d\u00e9faut, WordPress utilise une connexion classique par nom d'utilisateur et mot de passe. Les attaques par force brute sur la page de connexion sont l'un des vecteurs d'attaque les plus courants.<\/p>\n\n\n\n

EmDash ne prend pas du tout en charge les mots de passe. L'authentification par d\u00e9faut utilise des passkeys (cl\u00e9s cryptographiques li\u00e9es \u00e0 l'appareil) et est con\u00e7ue pour \u00eatre enfichable - des fournisseurs d'identit\u00e9 externes peuvent \u00eatre connect\u00e9s. Aucun mot de passe ne peut \u00eatre devin\u00e9, vol\u00e9 dans la base de donn\u00e9es ou utilis\u00e9 \u00e0 mauvais escient \u00e0 la suite d'une fuite provenant d'un autre service.<\/p>\n\n\n\n

Licences et isolation du code<\/h3>\n\n\n\n

EmDash est enti\u00e8rement \u00e9crit en TypeScript et utilise la licence MIT. Pour des raisons de s\u00e9curit\u00e9, il est important que les plugins ne partagent aucun code avec EmDash - ils fonctionnent ind\u00e9pendamment. Cela signifie que Vuln\u00e9rabilit\u00e9<\/a> dans le plugin ne peut pas utiliser l'API interne du noyau de la mani\u00e8re dont l'architecture de WordPress le permet.<\/p>\n\n\n\n

Ce qu'EmDash n'est pas encore<\/h2>\n\n\n\n

Il est important de pr\u00e9ciser ce que EmDash ne repr\u00e9sente pas dans sa forme actuelle :<\/p>\n\n\n\n