Site WordPress « MonCabinet.fr » — Réalisé le 20/06/2026
Ce site WordPress présente 8 vulnérabilités, dont une critique qui peut permettre à un attaquant de prendre le contrôle total du site. Le problème principal : des plugins et le cœur WordPress ne sont pas à jour.
Concrètement : Ce plugin populaire a une faille XSS connue (CVE-2024-XXXX). Un attaquant peut l'exploiter pour prendre le contrôle d'un compte administrateur sans mot de passe.
Impact : Un pirate peut modifier le site, voler les données des visiteurs, injecter des malwares, ou rediriger vers un faux site de paiement.
Concrètement : Le compte administrateur par défaut "admin" existe encore. 50 % des attaques WordPress ciblent ce nom d'utilisateur connu.
Impact : L'attaquant a déjà la moitié des informations pour se connecter (le login). Il ne lui reste plus que le mot de passe à trouver.
Concrètement : Le fichier xmlrpc.php est accessible. Il permet aux attaquants de tester des milliers de mots de passe par minute.
Impact : Attaque par force brute massive possible. Un compte avec un mot de passe faible sera piraté en quelques heures.
Concrètement : On peut essayer de se connecter autant de fois qu'on veut, sans être bloqué.
Impact : L'attaquant peut lancer une attaque par dictionnaire 24h/24 jusqu'à trouver le bon mot de passe.
Concrètement : Un administrateur peut modifier les fichiers PHP du site depuis le panneau d'admin. Si un attaquant vole un compte admin, il peut modifier n'importe quel fichier.
define('DISALLOW_FILE_EDIT', true);).Concrètement : L'API REST de WordPress est accessible sans authentification, permettant de lister les utilisateurs et leurs informations.
Concrètement : En cas d'erreur, WordPress affiche des messages détaillés qui révèlent la structure du site aux attaquants.
wp-config.php.La version de WordPress est visible dans le code HTML, permettant aux attaquants de cibler les failles connues de cette version.
Corriger la faille critique qui expose le site à une prise de contrôle totale.
Bloquer les attaques par force brute en supprimant les accès par défaut.
Ajouter un pare-feu WordPress et limiter les tentatives de connexion.
Sauvegarde quotidienne vers le cloud (UpdraftPlus ou l'hébergeur).