Une faille dans un plugin WordPress à 400 000 installations, le bug qui retourne des sites entiers

Cyrille Jeunehomme — 31 juillet, 2025

Sommaire
wordpress site faille

Une faille critique touche le plugin Post SMTP sur WordPress et permet à des hackers de prendre le contrôle total de 400 000 sites. La moitié des installations restent vulnérables à ce jour.

L’info tech à ne surtout pas ignorer : une faille critique a été découverte dans le plugin Post SMTP, utilisé par près de 400 000 sites WordPress pour l’envoi d’emails. Ce défaut de sécurité permet, dans certains cas, à un pirate de prendre le contrôle complet du site – une aubaine pour ceux qui cherchent à détourner ou saboter des plateformes web… Le plus inquiétant : des milliers d’admins ignorent toujours le danger.

Le plugin Post SMTP : le chaînon faible de 400 000 sites WordPress

Nom du pluginFonction principaleNombre d’installations
Post SMTPEnvoi sécurisé d’emails sur WordPress400 000+

Utilisé par d’innombrables sites pro et perso, ce plugin assure l’envoi fiable des mails (newsletters, notifications, formulaires…). Mais une faille de sécurité récemment dévoilée met tout l’écosystème WordPress en alerte.

Nature de la faille : prise de contrôle à distance et sites en danger

Type de vulnérabilitéImpact possibleNiveau de risque
Authentification insuffisantePrise de contrôle du site, modification du contenu, vol de donnéesCritique

Un hacker peut, via cette brèche, injecter du code malveillant ou prendre la main sur l’administration du site. La faille est suffisamment grave pour permettre un vrai takeover – c’est du jamais vu à cette échelle sur ce plugin.

Qui est concerné et comment savoir si votre site est en danger ?

SituationRisque encouru
Version non mise à jour de Post SMTPExposition maximale, site piratable à distance
Mise à jour appliquéeProtection restaurée, faille colmatée

La moitié des utilisateurs n’ont pas encore appliqué la dernière version, laissant des centaines de milliers de sites accessibles aux attaques. Un simple oubli de mise à jour peut coûter cher.

Les bons réflexes pour sécuriser son site WordPress dès aujourd’hui

Action urgenteBénéfice immédiat
Mettre à jour Post SMTP dès maintenantSuppression du risque principal
Scanner régulièrement ses pluginsDétecter d’autres vulnérabilités
Sauvegarder son site avant toute mise à jourPréserver ses données en cas de problème
Surveiller les alertes de sécurité WordPressRester informé des prochains bugs critiques

Ne sous-estimez jamais une faille “silencieuse” : le danger est souvent invisible, mais les conséquences peuvent être dramatiques pour un site ou un business.

Infogérance & services hébergés,
géré par des Experts