Les plugins WordPress les plus ciblés par les hackers sont souvent les plus populaires : Contact Form 7, WooCommerce, Elementor, Yoast SEO, WPForms. La popularité augmente la surface d’attaque. Pour se protéger : mises à jour systématiques, suppression des plugins inutilisés, limitation du nombre d’extensions et surveillance via un plugin de sécurité.
Pas le temps ? Faites-le analyser par l'IA
En 2016, Wordfence avait publié une liste des 50 plugins WordPress les plus attaqués. Dix ans plus tard, le constat n’a pas fondamentalement changé : les plugins les plus ciblés restent les plus installés. Logique. Un hacker qui trouve une faille dans un plugin utilisé sur 5 millions de sites a un retour sur investissement bien meilleur qu’avec un plugin confidentiel à 200 installations.
J’ai développé 7 plugins sur WordPress.org, dont WPS Hide Login avec plus de 2 millions d’installations actives. Je sais comment les failles arrivent. Et je sais à quelle vitesse elles sont exploitées quand un plugin est populaire. Parfois en moins de 48 heures après la divulgation.
Pourquoi les plugins populaires sont les plus visés
Un plugin WordPress est du code PHP qui s’exécute sur votre serveur avec les mêmes droits que WordPress lui-même. Une faille dans un plugin, c’est une porte ouverte vers votre base de données, vos fichiers, parfois votre serveur entier.
Les hackers ne ciblent pas un site spécifique. Ils scannent internet en masse à la recherche de versions vulnérables. Des bots automatisent tout : détection du plugin, vérification de la version, exploitation de la faille. Tout ça en quelques secondes par site.
Un plugin avec 5 millions d’installations et une faille non patchée, c’est potentiellement des centaines de milliers de sites compromis en quelques jours. C’est pour ça que les gros plugins sont les cibles prioritaires. Pas parce qu’ils sont mal codés — mais parce que le ratio effort/récompense est imbattable pour l’attaquant.
Les catégories de plugins les plus ciblées en 2026
D’après les données de Wordfence, Patchstack et WPScan, les catégories les plus touchées sont :
Les constructeurs de pages
Elementor reste le plugin le plus ciblé de l’écosystème WordPress. Avec plus de 5 millions d’installations, chaque faille XSS ou CSRF découverte déclenche une course entre les équipes de correction et les attaquants. Revolution Slider (devenu Slider Revolution) était le champion des vulnérabilités dans les années 2015-2020, mais Elementor a pris le relais en volume pur.
Mon opinion sur le sujet : les page builders ajoutent une complexité énorme. Plus de code = plus de surface d’attaque. Gutenberg fait le même travail avec une fraction du risque.
Les plugins de formulaires
Contact Form 7, WPForms, Ninja Forms, Gravity Forms — les formulaires sont des points d’entrée naturels pour les injections SQL, les attaques XSS et les uploads de fichiers malveillants. Contact Form 7 a eu des failles critiques en 2020 et 2023. WPForms et Ninja Forms n’ont pas été épargnés non plus.
Les plugins SEO
Yoast SEO (plus de 10 millions d’installations) et Rank Math sont régulièrement audités et patchés. Mais leur accès en écriture aux métadonnées et au head HTML en fait des cibles intéressantes pour les hackers qui veulent injecter du spam SEO (cloaking, redirections pharma).
Les plugins e-commerce
WooCommerce manipule des données de paiement et des informations personnelles. C’est une cible de choix. Les failles de sécurité dans WooCommerce et ses extensions de paiement peuvent exposer des données bancaires. En 2023, une vulnérabilité critique dans WooCommerce Payments a touché 600 000 sites.
Les plugins de cache et performance
LiteSpeed Cache (6M+ installations) a subi une faille critique de type privilege escalation en 2024, permettant à un attaquant non authentifié de devenir admin. W3 Total Cache, WP Super Cache — tous ont eu leur lot de problèmes. Ironiquement, les plugins censés protéger votre site le rendent parfois plus vulnérable.
Les types d’attaques les plus fréquentes
Comprendre comment les attaques fonctionnent aide à s’en protéger. Les trois vecteurs principaux via les plugins WordPress :
- XSS (Cross-Site Scripting) — un attaquant injecte du JavaScript malveillant via un champ de formulaire ou un paramètre URL. C’est la faille la plus fréquente. Le hacker peut voler des cookies admin, rediriger les visiteurs, ou injecter du contenu invisible
- SQL Injection — le hacker injecte du code SQL dans un formulaire ou un paramètre pour lire, modifier ou supprimer votre base de données. Moins fréquent qu’avant grâce aux mécanismes de préparation de requêtes de WordPress ($wpdb->prepare), mais toujours présent dans les plugins mal codés
- Privilege Escalation — le hacker exploite un bug pour passer de simple visiteur à administrateur. C’est la faille la plus dangereuse — accès total au site en un seul exploit
Comment se protéger concrètement
Pas de formule magique. Juste de la rigueur et du bon sens.
Mises à jour : c’est non négociable
80% des sites WordPress piratés utilisent une version obsolète d’au moins un plugin. Chaque semaine, mettez à jour WordPress, vos plugins et votre thème. Activez les mises à jour automatiques pour les plugins de confiance. Sauvegardez avant chaque mise à jour majeure — un plugin qui casse votre site, ça arrive. Mais un plugin non mis à jour qui se fait pirater, ça arrive bien plus souvent.
Consultez notre guide pour mettre à jour vos plugins en toute sécurité.
Moins de plugins = moins de risques
Chaque plugin est une porte d’entrée potentielle. Sur wpformation.com, on tourne avec 5 plugins actifs. Cinq. Et le site fait tout ce qu’il doit faire. La question à se poser pour chaque plugin : « Est-ce que je peux faire ça autrement ? » Un snippet dans functions.php ou un mu-plugin résout souvent le problème sans ajouter une extension complète.
Vérifiez avant d’installer
Avant d’installer un plugin, vérifiez sur wordpress.org : dernière mise à jour (moins de 6 mois), nombre d’installations actives, note, compatibilité avec votre version de WordPress. Un plugin non mis à jour depuis 2 ans est un risque que vous ne devriez pas prendre.
Un plugin de sécurité dédié
Wordfence (gratuit) ou Solid Security (ex-iThemes) ajoutent un pare-feu applicatif (WAF) qui bloque les requêtes malveillantes avant qu’elles n’atteignent vos plugins vulnérables. Ce n’est pas une garantie absolue, mais c’est une couche de protection importante. Consultez notre guide complet pour sécuriser WordPress.
Conseil : Inscrivez-vous aux alertes de Patchstack (gratuit). Vous recevrez un email à chaque faille découverte dans vos plugins installés. C’est le meilleur système d’alerte précoce que je connaisse.
Le cas des plugins « abandonnés »
Un plugin retiré du répertoire WordPress.org ne disparaît pas de votre site. Il reste installé, actif, et il continue à s’exécuter — sans aucune mise à jour de sécurité. C’est une bombe à retardement.
Vérifiez régulièrement si vos plugins sont toujours sur le répertoire officiel. Si un plugin est fermé ou non maintenu depuis plus d’un an, trouvez une alternative et désinstallez-le. Pas juste désactivé — désinstallé. Un plugin désactivé peut toujours être exploité via un accès direct à ses fichiers PHP.
FAQ — Sécurité des plugins WordPress
Un plugin désactivé peut-il être piraté ?
Oui. Un plugin désactivé reste sur votre serveur et ses fichiers PHP sont toujours accessibles. Si le plugin contient une faille d’accès direct (à un fichier comme ajax-handler.php par exemple), un hacker peut l’exploiter même si le plugin est désactivé. Supprimez toujours les plugins que vous n’utilisez plus.
Combien de plugins peut-on installer sans risque ?
Il n’y a pas de nombre magique. Un site avec 5 plugins bien maintenus est plus sûr qu’un site avec 3 plugins abandonnés. L’enjeu n’est pas la quantité mais la qualité : chaque plugin doit être maintenu activement, provenir d’une source fiable, et être réellement utilisé. En pratique, la plupart des sites n’ont besoin que de 8 à 15 plugins.
Les plugins premium sont-ils plus sûrs que les gratuits ?
Pas nécessairement. Certains plugins premium sont distribués en dehors de WordPress.org et ne bénéficient pas de la revue de code du répertoire officiel. Les plugins gratuits sur wordpress.org passent un contrôle de sécurité initial et bénéficient de la surveillance communautaire. Le plus important : que le plugin soit activement maintenu, gratuit ou payant.
Comment savoir si un de mes plugins a une faille connue ?
Inscrivez-vous à Patchstack (gratuit) ou consultez la base de vulnérabilités WPScan. Wordfence publie aussi des alertes régulières sur son blog. Dans votre tableau de bord WordPress, les mises à jour de sécurité sont signalées en rouge — ne les ignorez pas.
La sécurité WordPress n’est pas un état, c’est un processus. Les plugins que vous installez aujourd’hui peuvent devenir les failles de demain. La seule constante, c’est la vigilance : mettre à jour, surveiller, nettoyer.
Chaque mois, je passe 15 heures en veille WordPress. Vous, vous recevez un email de 3 minutes.
Sécurité, performance, SEO, nouveautés, IA : l'essentiel trié, vérifié et expliqué par un formateur WordPress depuis 2012 et fondateur de WPServeur.
1 email par mois. Désabonnement en 1 clic.
Analyser avec l'IA
Partager
