600 000 sites WordPress en alerte : le bug expose tout votre site au piratage
Cyrille Jeunehomme — 5 juillet, 2025
Vous imaginez perdre le contrôle total de votre site web du jour au lendemain à cause d’un simple plugin ? C’est exactement ce qui menace actuellement plus de 600 000 sites WordPress dans le monde à cause d’une faille critique dans le célèbre plugin Forminator. Cette extension, dédiée à la création de formulaires, a été victime d’une vulnérabilité qui permet à un attaquant de supprimer des fichiers essentiels, comme le fameux « wp-config.php », et d’ouvrir la porte à un piratage complet.
| Nom du plugin | Nombre d’installations | Version vulnérable | Conséquence principale |
|---|---|---|---|
| Forminator | +600 000 | ≤ 1.44.2 | Prise de contrôle totale du site |
Pourquoi ce bug Forminator est-il aussi dangereux ?
L’équipe sécurité de Wordfence a tiré la sonnette d’alarme : cette faille permet à n’importe qui, même sans compte sur le site, de demander la suppression d’un fichier au choix via un formulaire malveillant. Et si ce fichier est supprimé (comme wp-config.php), il devient alors très facile pour un pirate d’accéder à la configuration et de détourner complètement l’instance WordPress. Une simple suppression de formulaire peut donc suffire à ouvrir la boîte de Pandore, surtout si votre site est déjà visé par du spam.
Les risques sont énormes : non seulement vous pouvez perdre tout accès à votre site, mais un pirate peut aussi exécuter du code malveillant et compromettre les données de vos visiteurs.
Que faire pour se protéger et corriger la faille ?
La seule solution : mettre à jour le pluginForminator sans attendre. Le bug touche toutes les versions jusqu’à 1.44.2 ; la mise à jour 1.44.3 (et suivantes) est disponible depuis début juillet 2025 et bouche la faille. Il est urgent d’agir si vous gérez un site WordPress utilisant Forminator, sinon la prise de contrôle complète de votre site n’est plus qu’une question de temps.
Petit rappel utile :
- Si vous utilisez un plugin de sécurité ou un hébergeur, vérifiez que la mise à jour est bien appliquée.
- Pensez aussi à contrôler les autres extensions installées : une faille similaire avait touché en juin 2025 le plugin AI Engine (100 000 sites impactés).
Un été chaud pour la cybersécurité WordPress
Ce nouvel incident prouve à quel point la sécurité des plugins WordPress est cruciale pour la protection des sites. En quelques semaines, deux failles majeures auraient pu causer une vague de piratages massifs. Les experts recommandent de suivre de près l’actualité sécurité de vos extensions, d’appliquer les mises à jour sans attendre, et de sauvegarder régulièrement vos données.
En 2025, ignorer les alertes de sécurité WordPress, c’est risquer de voir tout son travail s’effondrer en quelques secondes… N’attendez pas pour sécuriser votre site !