Nous contacter

Alerte Critique WordPress : Mettez à jour ces 4 Plugins Immédiatement ! (Décembre 2025)

La sécurité de votre site WordPress ne tient souvent qu’à un fil : celui de vos mises à jour. Cette dernière semaine de novembre 2025 nous le rappelle brutalement avec la divulgation de plusieurs vulnérabilités majeures.

Que vous gériez un site de streaming vidéo, un blog optimisé pour la vitesse ou une plateforme communautaire, vous êtes potentiellement concerné. Voici l’analyse technique (mais compréhensible!) des 4 menaces qu’il ne faut surtout pas ignorer ce week-end.

1. StreamTube Core : La menace ultime (Score 9.8/10)

Si vous utilisez le thème StreamTube, arrêtez tout et lisez ceci. Le plugin StreamTube Core, qui gère les fonctionnalités vitales de ce thème vidéo, souffre d’une faille critique identifiée sous le nom CVE-2025-13615.1

Pourquoi est-ce si grave?

Avec un score de sévérité quasi maximal de 9.8/10, c’est ce qu’on appelle une faille « No-Auth ». Concrètement, un pirate n’a même pas besoin d’être connecté pour l’exploiter.

La vulnérabilité permet à n’importe qui de changer le mot de passe de n’importe quel utilisateur, y compris l’administrateur.2 Le problème vient d’une erreur classique de développement : le code fait confiance aux données envoyées par l’utilisateur pour identifier quel compte modifier, sans vérifier si la personne a le droit de le faire.

  • Le risque : Prise de contrôle totale de votre site (Account Takeover).
  • La condition : La faille est exploitable si l’option « registration password fields » est activée dans votre thème.3
  • La solution : Mettez à jour vers la version 4.79 ou supérieure immédiatement.

2. WP Fastest Cache Premium : Payer ne protège pas de tout

Ironiquement, l’une des failles les plus discutées cette semaine ne touche que les clients payants de WP Fastest Cache. La version gratuite (utilisée par des millions de sites) est épargnée, mais la version Premium (avant la 1.4.1) est vulnérable.4

Le piège des privilèges « Abonné »

La faille (CVE-2025-10476) permet à un simple abonné connecté de lancer des commandes de nettoyage de base de données.5 Normalement, seul un administrateur devrait avoir ce pouvoir.

Bien que le score soit modéré (4.3/10), les conséquences sont gênantes :

  • Surcharge serveur : Un attaquant peut lancer des nettoyages en boucle pour ralentir votre site.
  • Perte de données : Suppression potentielle de brouillons ou de données temporaires utiles.

Action requise : Si vous avez la version Premium, vérifiez que vous êtes bien en version 1.4.1 minimum.6

3. Nextend Social Login : Gare aux clics imprudents

Ce plugin très populaire, qui permet de se connecter via Facebook ou Google, a corrigé une faille de type CSRF (Cross-Site Request Forgery).7

Comment ça marche?

La faille CVE-2025-13737 permettait à un attaquant de délier (déconnecter) votre compte réseau social de votre compte WordPress.8 Pour réussir, le pirate doit vous piéger en vous faisant cliquer sur un lien malveillant pendant que vous êtes connecté à votre site.

C’est une attaque d’ingénierie sociale : le pirate ne « force » pas la porte, il vous convainc de l’ouvrir vous-même sans le savoir. La mise à jour 3.1.22 corrige ce défaut de vérification.8

4. Gutenverse : Quand le design devient une faille

Le plugin Gutenverse, utilisé pour l’édition complète de site (FSE), a également été patché pour un problème de contrôle d’accès (CVE-2025-66065).9

Des utilisateurs mal intentionnés pouvaient potentiellement modifier des réglages de design sans autorisation. Bien que l’impact soit souvent limité à du « défacement » (modification visuelle du site) ou à des nuisances, cela peut nuire gravement à votre image de marque. La version 3.3.0 est désormais sécurisée.10

Tableau Récapitulatif : Quoi mettre à jour?

Pour les plus pressés, voici la « To-Do List » de votre maintenance hebdo :

PluginVersion VulnérableAction Requise
StreamTube Core<= 4.78Mettre à jour vers > 4.78
WP Fastest Cache (Pro)<= 1.4.0Mettre à jour vers 1.4.1
Nextend Social Login<= 3.1.21Mettre à jour vers 3.1.22
Gutenverse<= 3.2.1Mettre à jour vers 3.3.0

Conclusion : La vigilance est votre meilleure défense

Ces failles nous rappellent qu’aucun plugin n’est infaillible. Pour sécuriser votre blog WordPress :

  1. Activez les mises à jour automatiques pour les plugins mineurs.
  2. Supprimez les comptes utilisateurs inactifs (surtout les « Abonnés » qui peuvent servir de porte d’entrée).
  3. Utilisez un pare-feu (WAF) comme Wordfence ou SecuPress pour bloquer les tentatives d’exploitation avant qu’elles n’atteignent votre site.