Une faille dans un plugin WordPress à 400 000 installations, le bug qui retourne des sites entiers
Cyrille Jeunehomme — 31 juillet, 2025
Une faille critique touche le plugin Post SMTP sur WordPress et permet à des hackers de prendre le contrôle total de 400 000 sites. La moitié des installations restent vulnérables à ce jour.
L’info tech à ne surtout pas ignorer : une faille critique a été découverte dans le plugin Post SMTP, utilisé par près de 400 000 sites WordPress pour l’envoi d’emails. Ce défaut de sécurité permet, dans certains cas, à un pirate de prendre le contrôle complet du site – une aubaine pour ceux qui cherchent à détourner ou saboter des plateformes web… Le plus inquiétant : des milliers d’admins ignorent toujours le danger.
Le plugin Post SMTP : le chaînon faible de 400 000 sites WordPress
| Nom du plugin | Fonction principale | Nombre d’installations |
|---|---|---|
| Post SMTP | Envoi sécurisé d’emails sur WordPress | 400 000+ |
Utilisé par d’innombrables sites pro et perso, ce plugin assure l’envoi fiable des mails (newsletters, notifications, formulaires…). Mais une faille de sécurité récemment dévoilée met tout l’écosystème WordPress en alerte.
Nature de la faille : prise de contrôle à distance et sites en danger
| Type de vulnérabilité | Impact possible | Niveau de risque |
|---|---|---|
| Authentification insuffisante | Prise de contrôle du site, modification du contenu, vol de données | Critique |
Un hacker peut, via cette brèche, injecter du code malveillant ou prendre la main sur l’administration du site. La faille est suffisamment grave pour permettre un vrai takeover – c’est du jamais vu à cette échelle sur ce plugin.
Qui est concerné et comment savoir si votre site est en danger ?
| Situation | Risque encouru |
|---|---|
| Version non mise à jour de Post SMTP | Exposition maximale, site piratable à distance |
| Mise à jour appliquée | Protection restaurée, faille colmatée |
La moitié des utilisateurs n’ont pas encore appliqué la dernière version, laissant des centaines de milliers de sites accessibles aux attaques. Un simple oubli de mise à jour peut coûter cher.
Les bons réflexes pour sécuriser son site WordPress dès aujourd’hui
| Action urgente | Bénéfice immédiat |
|---|---|
| Mettre à jour Post SMTP dès maintenant | Suppression du risque principal |
| Scanner régulièrement ses plugins | Détecter d’autres vulnérabilités |
| Sauvegarder son site avant toute mise à jour | Préserver ses données en cas de problème |
| Surveiller les alertes de sécurité WordPress | Rester informé des prochains bugs critiques |
Ne sous-estimez jamais une faille “silencieuse” : le danger est souvent invisible, mais les conséquences peuvent être dramatiques pour un site ou un business.