Le rapport annuel de Patchstack vient de sortir, offrant un panorama détaillé de l’état sécuritaire de WordPress en 2025. Entre l’augmentation des vulnérabilités, l’émergence de l’IA et les nouvelles réglementations européennes, ce document dessine les contours d’un écosystème en pleine transformation.
Des chiffres qui interpellent
Les données collectées par Patchstack révèlent une tendance notable. En 2024, ce sont 7 966 nouvelles failles de sécurité qui ont été documentées, représentant environ 22 vulnérabilités identifiées quotidiennement. Cette réalité marque une progression de 34% par rapport à l’année précédente.
L’analyse détaillée confirme une constante : les plugins restent le point d’attention principal avec 96% des vulnérabilités, contre 4% dans les thèmes. Le cœur de WordPress conserve sa réputation de stabilité avec seulement sept failles mineures détectées.
Un élément particulièrement significatif : 43% de ces vulnérabilités sont accessibles sans authentification préalable – une situation qui mérite l’attention des administrateurs de sites.
Les extensions populaires également concernées
“La popularité n’immunise pas contre les problèmes de sécurité” – cette observation se reflète clairement dans les données compilées par Patchstack. Parmi les extensions touchées figurent des solutions largement adoptées :
- LiteSpeed Cache (6 millions d’utilisateurs)
- Really Simple SSL (4 millions d’utilisateurs)
- Better Search Replace (1 million d’utilisateurs)
- Loginizer (1 million d’utilisateurs)
- The Events Calendar (700 000 utilisateurs)
- WPvivid Backup and Migration (400 000 utilisateurs)
LiteSpeed Cache s’est particulièrement distingué avec cinq vulnérabilités importantes identifiées, dont l’une a conduit à la plus importante prime de l’histoire de Patchstack : 16 400 dollars.
Un défi de réactivité
Point notable mis en évidence par le rapport : un tiers des vulnérabilités repérées n’ont pas été corrigées avant leur divulgation publique. Cette situation crée une fenêtre temporelle sensible.
“La publication d’un correctif marque le début d’une période critique,” indique le rapport. “Cette phase voit les développeurs s’adapter tandis que les administrateurs travaillent à déployer les mises à jour sur leurs infrastructures.”
Le rapport mentionne notamment l’exemple d’une faille d’exécution de code à distance dans Bricks Builder, qui a connu une activité significative peu après sa divulgation publique.
Des impacts concrets
Les conséquences de ces vulnérabilités se manifestent de façon tangible. Selon les données de Sucuri citées par Patchstack, plus de 500 000 sites WordPress ont été affectés en 2024. Les principales formes d’incidents incluent :
- Les spam SEO (422 466 incidents)
- Les redirections non désirées (175 520 cas)
- Les publicités non sollicitées (16 274 occurrences)
- Les modifications non autorisées de sites (8 452 événements)
- L’IA : une nouvelle dimension dans l’équation
L’intégration de l’intelligence artificielle modifie progressivement le paysage sécuritaire. Le rapport identifie quatre tendances à suivre pour 2025 :
- La présence accrue de code généré par IA, parfois publié avec des vérifications limitées
- L’identification plus rapide des vulnérabilités grâce aux outils d’analyse automatisés
- Une réduction du délai entre découverte et utilisation des failles
- Une réévaluation de certaines vulnérabilités mineures à la lumière des capacités d’automatisation
“Patchstack travaille depuis 2023 sur l’utilisation de l’IA pour améliorer la détection des vulnérabilités, tout en reconnaissant que ces technologies deviendront progressivement accessibles à un public plus large,” indique le rapport.
Le Cyber Resilience Act : une évolution réglementaire
Autre développement significatif mentionné par Patchstack : l’entrée en vigueur du Cyber Resilience Act européen en décembre 2024. Cette réglementation, décrite comme “comparable au RGPD pour les développeurs”, introduira dès septembre 2026 des obligations nouvelles concernant la notification des vulnérabilités.
“Le CRA concerne directement les développeurs de plugins WordPress comptant des utilisateurs dans l’UE,” précise le rapport. “Ils seront considérés comme des ‘fabricants’ au sens de la réglementation, avec les responsabilités associées.”
Une communauté en évolution
En filigrane du rapport apparaît également une observation sur l’évolution de la communauté WordPress, influencée par les relations entre Automattic et WP Engine. Patchstack évoque “des questionnements sur WordPress.org” et l’émergence d’alternatives comme des dépôts miroirs ou des approches décentralisées.
“En 2025, les considérations sécuritaires de WordPress s’étendent au-delà du code,” note le rapport. “Les entreprises liées à WordPress, ainsi que plusieurs membres de la communauté, intègrent désormais la gouvernance et la stabilité de l’écosystème dans leur évaluation des enjeux de sécurité.”
Vers des pratiques renouvelées
Face à ces observations, Patchstack propose une évolution des approches sécuritaires dans l’univers WordPress :
- Compléter les mises à jour par des mesures additionnelles
- Adapter les solutions WAF aux spécificités de WordPress
- Repenser l’utilisation des scanners de malware basés sur des plugins
- Explorer les techniques de correction virtuelle pour les vulnérabilités en attente de correctif officiel
Le rapport invite à une réflexion collective : dans un environnement numérique en constante évolution, la sécurité WordPress mérite une attention particulière et des approches adaptées.
