Faille Plugin Burst Statistics Auth. bypass
Par Yohann LE DU Publié le 14 mai 2026 10 min de lecture

Faille critique dans Burst Statistics : n'importe qui pouvait prendre le contrôle de votre site WordPress

Burst Statistics est un plugin d'analyse de statistiques "respectueux de la vie privée", installé sur plus de 200 000 sites WordPress. Fin avril 2026, une modification du code a introduit une faille critique : des portes d'entrée laissées ouvertes dans le plugin permettaient à un visiteur anonyme d'effectuer des actions normalement réservées aux administrateurs, sans compte, sans mot de passe. La faille a été détectée par PRISM, la plateforme d'analyse automatisée de Wordfence, seulement 15 jours après son introduction. Sans suivi de sécurité actif, ce type de faille passe inaperçu jusqu'à son exploitation.

Action requise. Si votre site utilise Burst Statistics, vérifiez que vous êtes sur la dernière version disponible. La mise à jour qui corrige cette faille est disponible depuis la mi-mai 2026. Besoin d'aide pour vérifier votre site ? Contactez-nous →

Sommaire

  1. Burst Statistics : l'analytics qui se voulait sans risque
  2. La faille : des portes d'entrée laissées ouvertes dans le code
  3. Ce qu'un attaquant peut faire concrètement
  4. Découverte en 15 jours par une IA : ce que ça change
  5. Really Simple Plugins : une deuxième faille critique en deux ans
  6. Versions concernées et correctif
  7. Ce qu'il faut faire maintenant
  8. Chronologie
  9. FAQ

Burst Statistics : l'analytics qui se voulait sans risque

Burst Statistics est développé par Really Simple Plugins, une société néerlandaise connue pour ses plugins de conformité et de sécurité WordPress. C'est une alternative à Google Analytics qui se veut respectueuse du RGPD : pas de cookies tiers, pas de transfert de données vers des serveurs américains, tout reste dans votre WordPress. Cette réputation de sérieux et de discrétion attire précisément des propriétaires de sites peu enclins à surveiller les bulletins de sécurité.

Plus de 200 000 sites l'utilisent actuellement. La faille divulguée par Wordfence le 13 mai 2026 concerne toutes les versions récentes du plugin, jusqu'à la version corrigée publiée en mai 2026.

200 000+
Sites WordPress concernés
15 jours
Entre l'introduction de la faille et sa détection
4/5
Handlers AJAX sans vérification d'identité
0
Compte ou mot de passe requis pour exploiter

La faille : des portes d'entrée laissées ouvertes dans le code

La faille appartient à la catégorie des contournements d'authentification - l'une des plus graves en sécurité web. Le principe est simple : le plugin expose des fonctionnalités accessibles via des requêtes HTTP, mais oublie de vérifier qui les envoie.

Techniquement, le problème se situe à deux endroits distincts dans le code. Quatre des cinq gestionnaires AJAX du plugin (AJAX handlers) ne comportent aucune vérification d'identité. Ces gestionnaires sont les fonctions que WordPress appelle lorsqu'une requête arrive sur /wp-admin/admin-ajax.php - un endpoint accessible à tous par définition. En parallèle, une route de l'API REST du plugin ne déclare pas de permission callback, ce qui signifie que WordPress la traite comme publique et accessible sans authentification.

La modification de code qui a introduit ce problème remonte au 23 avril 2026. La faille n'est donc pas ancienne : elle est entrée dans le plugin via une mise à jour censée améliorer le produit. C'est ce que les chercheurs en sécurité appellent une régression de sécurité - une version qui corrige des fonctionnalités tout en fragilisant des protections existantes.

Un point important : la faille n'était pas présente depuis toujours dans Burst Statistics. Elle a été introduite lors d'une mise à jour spécifique fin avril 2026. Les sites qui n'avaient pas mis à jour le plugin avant cette date n'étaient pas exposés à ce vecteur précis - mais ils l'étaient potentiellement à d'autres vulnérabilités plus anciennes.

Ce qu'un attaquant peut faire concrètement

Quand un handler AJAX ne vérifie pas qui l'appelle, n'importe qui peut déclencher les actions qu'il contient. Dans le cas de Burst Statistics, les endpoints exposés permettent des opérations d'administration du plugin - réinitialisation de données, modification de paramètres, accès à la configuration du site. Seuls ou combinés à d'autres vecteurs, ces accès ouvrent la voie vers un contrôle administrateur WordPress complet.

Dans les interventions post-compromission que nous menons, un accès non authentifié à des fonctions d'administration - même limitées - est systématiquement la première étape documentée avant une prise de contrôle totale. L'attaquant cartographie ce qui est accessible, puis cherche à l'utiliser comme levier pour aller plus loin : installer des plugins malveillants, créer des comptes administrateurs fantômes, modifier des fichiers du site.

Si vous avez des raisons de penser que votre site a été compromis avant l'application de la mise à jour, notre service de réparation WordPress d'urgence peut effectuer un audit complet et nettoyer les accès non autorisés.

Les indicateurs à surveiller dans vos logs :

Requêtes POST vers /wp-admin/admin-ajax.php sans cookie de session
Appels aux endpoints REST /wp-json/burst/ sans en-tête Authorization
Comptes administrateurs créés récemment à des horaires inhabituels
Plugins installés que vous ne reconnaissez pas
Modifications de fichiers dans wp-content dans les semaines précédant la mise à jour

Découverte en 15 jours par une IA : ce que ça change

Cette faille n'a pas été découverte par un chercheur humain. C'est PRISM, la plateforme d'analyse automatisée de vulnérabilités de Wordfence, qui l'a repérée le 8 mai 2026 - soit 15 jours après que la modification fautive a été intégrée dans le code.

15 jours, c'est court. Pendant des années, une faille pouvait rester inconnue des mois avant d'être trouvée - par un chercheur ou par un attaquant. L'analyse automatisée compresse cette fenêtre à quelques jours. Bonne nouvelle en théorie. Sauf que les scanners malveillants qui ratissent le web en permanence travaillent dans les mêmes délais. Ce que PRISM détecte en 15 jours, un script d'exploitation peut aussi le trouver en 15 jours.

Nous avions déjà évoqué l'impact de l'IA sur la cybersécurité WordPress dans notre analyse de l'IA Mythos d'Anthropic et ses implications pour les sites WordPress. Cette faille Burst Statistics en est une illustration concrète, côté défenseur cette fois.

Really Simple Plugins : une deuxième faille critique en deux ans

Really Simple Plugins a déjà vécu ça. En novembre 2024, leur plugin phare Really Simple Security (anciennement Really Simple SSL) était touché par CVE-2024-10924, un contournement d'authentification noté 9.8/10 qui exposait plus de 4 millions de sites WordPress. Même mécanisme : des endpoints accessibles sans vérification d'identité.

Deux failles critiques du même type, même développeur, en moins de deux ans. Ce n'est pas une raison de désinstaller leurs plugins - la mise à jour corrige le problème. C'est juste une raison de ne pas supposer qu'un plugin est "sûr par défaut" parce qu'il vient d'un éditeur reconnu. La réputation ne remplace pas la revue de code.

Versions concernées et correctif

Plugin Versions vulnérables Version corrigée Faille
Burst Statistics Versions incluant le code du 23 avril 2026 Dernière version disponible (mai 2026) Contournement d'authentification
Comment vérifier votre version : Tableau de bord WordPress → Extensions → recherchez "Burst Statistics". La version affichée doit être la plus récente disponible. Si une mise à jour est proposée, appliquez-la immédiatement depuis Extensions → Mises à jour disponibles.

Ce qu'il faut faire maintenant

1 - Mettre à jour Burst Statistics

C'est l'action prioritaire. Tableau de bord → Extensions → Mises à jour disponibles. Appliquez la mise à jour de Burst Statistics vers la dernière version disponible. La mise à jour corrective a été publiée en mai 2026, environ 19 jours après la détection de la faille.

2 - Vérifier les comptes administrateurs

Dans Utilisateurs → Tous les utilisateurs, filtrez par rôle Administrateur. Cherchez des comptes créés récemment que vous ne reconnaissez pas. Supprimez tout compte suspect, révoquez ses sessions et changez les mots de passe de vos comptes légitimes.

3 - Vérifier les plugins installés

Dans Extensions → Extensions installées, cherchez tout plugin que vous n'avez pas installé vous-même, surtout s'il a été ajouté entre le 23 avril et la date de votre mise à jour. Un attaquant qui a exploité la faille peut avoir installé un outil de prise de contrôle à distance.

4 - Analyser les logs serveur

Cherchez dans vos logs Apache ou Nginx des requêtes POST vers /wp-admin/admin-ajax.php ou les routes /wp-json/burst/ provenant d'adresses IP inconnues, particulièrement entre le 23 avril et la date de votre mise à jour.

5 - Scanner le site si une compromission est suspectée

Utilisez Wordfence ou Sucuri pour un scan complet des fichiers. Si le scan révèle des fichiers modifiés ou des backdoors, faites appel à un expert WordPress - une mise à jour du plugin ne supprime pas ce qui a déjà été installé par un attaquant.

Si vous gérez plusieurs sites ou n'avez pas le temps de surveiller chaque mise à jour de sécurité, c'est exactement ce que couvre un contrat de maintenance WordPress : application des correctifs dans les heures suivant leur publication, surveillance continue et réaction immédiate en cas d'incident.

Chronologie

  • 1
    23 avril 2026
    La modification de code introduisant la faille d'authentification est publiée dans une mise à jour de Burst Statistics. Les AJAX handlers et la route REST API se retrouvent sans vérification d'identité.
  • 2
    8 mai 2026
    PRISM, la plateforme d'analyse automatisée de Wordfence, détecte la faille - 15 jours après son introduction. Le signalement au développeur est initié immédiatement.
  • 3
    8 - 12 mai 2026
    Really Simple Plugins travaille sur le correctif. La fenêtre d'exposition entre détection et patch représente quelques jours pendant lesquels des attaquants auraient pu tenter d'exploiter la faille si elle avait été rendue publique.
  • 4
    Mi-mai 2026
    Publication du correctif - environ 19 jours après l'introduction de la faille. Le code AJAX et les routes REST API sont durcis : vérification stricte du namespace Burst et authentification correctement requise.
  • 5
    13 mai 2026
    Divulgation publique par Wordfence. Les détails techniques de la faille sont rendus publics maintenant que le correctif est disponible.

FAQ - Faille Burst Statistics

Mon site est-il concerné si Burst Statistics est désactivé ?

Un plugin désactivé ne charge pas son code, donc la faille ne peut pas être exploitée. En revanche, si vous l'aviez actif entre le 23 avril et la date de votre mise à jour, il est prudent de vérifier vos comptes administrateurs et de scanner vos fichiers.

Qu'est-ce qu'un contournement d'authentification ?

C'est une faille qui permet d'effectuer des actions réservées aux administrateurs sans avoir besoin d'un compte ni d'un mot de passe. C'est la catégorie la plus grave car elle ne nécessite aucune information préalable sur le site - n'importe qui peut l'exploiter, depuis n'importe où, de manière automatisée.

Pourquoi un plugin d'analytics représente-t-il un risque de sécurité ?

Tout plugin WordPress expose du code côté serveur accessible depuis internet. Burst Statistics gère des requêtes AJAX et des endpoints REST pour enregistrer les visites - c'est dans ces mécanismes que résidait la faille. La fonction d'un plugin ne préjuge pas de son niveau de risque sécuritaire.

Really Simple Plugins a-t-il déjà eu ce type de problème ?

Oui. En novembre 2024, leur plugin Really Simple Security était touché par CVE-2024-10924, une faille de contournement d'authentification notée 9.8/10 qui affectait plus de 4 millions de sites WordPress. C'est la deuxième faille critique de ce type en moins de deux ans pour le même développeur.

Wordfence gratuit protège-t-il contre cette faille ?

Wordfence Premium, Care et Response ont reçu une règle de pare-feu dès la découverte. Les utilisateurs gratuits reçoivent les règles avec un délai de 30 jours. Dans tous les cas, la mise à jour du plugin reste la seule correction définitive.

Un plugin "respectueux de la vie privée" qui exposait tout

Il y a quelque chose d'un peu paradoxal dans cette faille. Burst Statistics est précisément choisi par des propriétaires de sites qui tiennent à la confidentialité de leurs données - et c'est ce plugin qui ouvrait une porte dérobée dans leur installation WordPress. La réputation d'un outil n'est pas une garantie de sécurité. Really Simple Plugins fait de bons produits. Ils ont aussi déjà eu des failles graves. Les deux peuvent être vrais en même temps.

Ce qui devrait retenir l'attention, c'est la rapidité de la détection - 15 jours entre l'introduction du bug et sa découverte par PRISM. C'est une fenêtre très courte. Mais c'est 15 jours pendant lesquels 200 000 sites étaient exposés sans le savoir. Sur un site sans veille de sécurité active, la mise à jour corrective aurait pu attendre des semaines, le temps que l'administrateur pense à vérifier.

Ces incidents se succèdent à un rythme qui ne ralentit pas. La double faille Breeze Cache et User Registration, les compromissions via 20 plugins piratés à la source, et maintenant Burst Statistics - à chaque fois le même schéma : une fenêtre d'exposition, des sites non mis à jour, une exploitation possible. La question n'est pas de savoir si votre plugin d'analytics est "dangereux". C'est de savoir combien de temps s'écoule entre la publication d'un correctif et son application sur votre site.

À propos de l'auteur

Yohann LE DU

Expert WordPress & Sécurité web

Développeur senior depuis plus de 20 ans, spécialiste WordPress et sécurité web. Yohann accompagne les TPE, PME et associations dans la maintenance préventive et la sécurisation de leurs sites WordPress.

Voir le profil complet →
Pour aller plus loin
Alerte sécurité

Breeze Cache et User Registration : deux failles qui ont exposé 460 000 sites WordPress

Deux plugins WordPress permettaient à des inconnus de prendre le contrôle total de 460 000 sites - sans créer de compte.

Faille plugin

Avada Builder : faille critique sur 1 million de sites WordPress

Une faille dans le constructeur de pages le plus vendu de WordPress permettait à un abonné de lire vos fichiers serveur. 1 million de sites concernés.

Guide pratique

Site WordPress piraté : que faire ?

Votre site WordPress a été piraté ? Il est probablement réparable. Guide en 7 étapes pour nettoyer, supprimer les backdoors et restaurer la sécurité.

Burst Statistics sur votre site ? Vérifiez votre version maintenant.

Une version non à jour expose votre site à un accès administrateur sans mot de passe. Notre maintenance WordPress applique les correctifs critiques dans les heures suivant leur publication.

Protéger mon site avec la maintenance → Demander un audit gratuit