Chaque semaine, l’écosystème WordPress voit apparaître en moyenne 160 à 170 nouvelles failles, quasi toutes situées dans les plugins. Le calcul est simple : Patchstack a recensé 7 966 vulnérabilités en 2024, dont 7 633 dans des extensions — soit ≈ 162 par semaine (SecurityWeek). C’est 34 % de plus qu’en 2023, quand le même acteur publiait déjà 5 948 flaws (≈ 114/semaine) Patchstack. Les rapports hebdomadaires confirment ce rythme : SolidWP comptait 285 nouveaux bugs plugin la première semaine de novembre 2024 (SolidWP) ; Wordfence en listait 117 fin 2024 et 75 début mai 2025 (wordfence.com). Même lorsqu’on lisse ces pics, la courbe reste haute : une revue d’iThemes indiquait déjà 1 361 plugins contenant au moins une vulnérabilité « à un instant T » en 2022 (White Canvas).

En clair, ouvrir un site WordPress aujourd’hui nécessite un suivi de l’actualité sécurité de ses extensions.

Pourquoi les plugins concentrent‑ils 97 % des failles ?

D’abord parce que WordPress.org héberge plus de 70 000 plugins, dont beaucoup sont maintenus par une seule personne ou carrément abandonnés – Patchstack a signalé 827 extensions orphelines rien qu’en 2023 (Patchstack). Ensuite, la diversité fonctionnelle multiplie les surfaces d’attaque : XSS (47,7 %), accès non autorisé (14 %) et CSRF (11 %) dominent encore les bilans 2024 (SecurityWeek). Or 43 % des failles détectées l’an dernier pouvaient être exploitées sans authentification ; un simple crawl suffit donc à un bot pour identifier et compromettre un site non patché (SecurityWeek). Les grands noms ne sont pas épargnés : plus de mille vulnérabilités ont touché des plugins à +100 000 installations actives, dont 115 à +1 million (SecurityWeek). L’effet réseau est brutal : dès qu’un exploit sort, il peut frapper des centaines de milliers de sites en quelques heures, comme l’a rappelé SolidWP lorsque 99 extensions vulnérables restaient encore sans correctif la semaine de leur rapport (SolidWP). À cela s’ajoute la lenteur du cycle de patch : un tiers des bugs auraient été divulgués avant d’être corrigés en 2024 (SecurityWeek), offrant aux attaquants une fenêtre confortable.

Que faire pour ne pas être la prochaine victime ?

1. 1. Inventaire & monitoring continu : listez vos plugins, éliminez ceux que vous n’utilisez plus, puis abonnez‑vous aux flux Patchstack/Wordfence pour recevoir les alertes dès publication d’un CVE (Search Engine Journal).

1. 1. Mises à jour express : appliquez les correctifs < 48 h après sortie ; 69 % des vulnérabilités sont patchées quand le développeur est actif, encore faut‑il cliquer “Mettre à jour” (White Canvas).

1. 1. Plugins premium ou sur‑mesure : un développement interne, respectant les standards OWASP ASVS, évite le “bloat” et limite la surface d’attaque — c’est le cœur de l’offre Webdigit.

1. 1. Pare‑feu applicatif & vPatch : un WAF avec règles virtuelles (Patchstack, Wordfence, Solid Security) bloque l’exploitation tant que le patch officiel n’est pas sorti (SolidWP).

1. 1. Plan de veille hebdomadaire : gardez un œil sur les rapports sectoriels ; SolidWP et Wordfence publient chaque semaine la liste des nouvelles failles (parfois > 300 plugins touchés) (SolidWPwordfence.com).

Conclusion : avec plus de 160 vulnérabilités plugin découvertes chaque semaine, la vraie question n’est plus “vais‑je être ciblé ?” mais “quand et avec quelles conséquences ?”. Un audit régulier, des mises à jour rapides et, surtout, des plugins développés sur‑mesure et maintenus par des professionnels restent le trio gagnant pour protéger votre chiffre d’affaires… et vos nuits.