UpdraftPlus : une faille permettait de prendre le contrôle total de votre site sans mot de passe

UpdraftPlus, le plugin de sauvegarde le plus utilisé de WordPress avec plus de 3 millions d'installations, contenait une faille critique dans son système de gestion à distance : un attaquant n'ayant ni compte ni mot de passe pouvait forger des commandes exécutées directement avec les privilèges d'un administrateur. Wordfence a confirmé une exploitation active dès la divulgation publique. Sans contrat de maintenance WordPress qui applique les correctifs critiques dès leur publication, ce type de faille touche même les outils sur lesquels vous comptez le plus - nous recommandons d'ailleurs UpdraftPlus dans notre guide sur les sauvegardes WordPress, à condition d'être à jour.

Action requise. Si votre site utilise UpdraftPlus, mettez à jour vers la version 1.26.5 immédiatement et vérifiez l'absence de plugins ou de comptes administrateurs inconnus. Besoin d'aide pour auditer votre site ? Contactez-nous →
3M+
Sites WordPress utilisant UpdraftPlus
0
Authentification requise pour exploiter
8.1/10
Score de gravité CVSS
1.26.5
Version corrigée

UpdraftPlus, le plugin de sauvegarde n°1 sur 3 millions de sites

UpdraftPlus: WP Backup & Migration est, de loin, le plugin de sauvegarde le plus installé de l'écosystème WordPress : plus de 3 millions de sites l'utilisent pour planifier des sauvegardes automatiques vers Google Drive, Dropbox, Amazon S3 ou un serveur FTP. Sa réputation de fiabilité et sa gratuité en ont fait un standard de facto - y compris dans nos propres recommandations.

Le 11 juin 2026, Wordfence publie la faille CVE-2026-10795, découverte par le chercheur XU WEI TING et notée 8.1 sur l'échelle CVSS : un contournement d'authentification non authentifié. Le terme est inhabituel pour un plugin de sauvegarde - on s'attendrait plutôt à ce type de faille sur un système d'identification, pas sur un outil censé protéger des copies de fichiers.

La faille : une télécommande à distance qui ne vérifie plus rien

UpdraftPlus propose une fonctionnalité appelée UpdraftCentral, qui permet de gérer les sauvegardes de plusieurs sites WordPress depuis un tableau de bord centralisé, à distance. Cette gestion à distance repose sur un protocole de communication interne nommé udrpc (UpdraftPlus Remote Procedure Call) : le site WordPress reçoit des commandes envoyées depuis l'extérieur et les exécute, à condition qu'elles soient correctement signées avec une clé secrète connue uniquement du propriétaire légitime.

La faille se situe dans la fonction UpdraftPlus_Remote_Communications_V2::wp_loaded, chargée de vérifier cette signature avant d'exécuter la moindre commande reçue. Cette vérification s'appuie sur une validation insuffisante du format des messages entrants : un attaquant peut construire une requête qui passe le contrôle sans jamais détenir la clé secrète légitime.

Pourquoi c'est si grave pour un plugin de sauvegarde : UpdraftCentral est conçu pour exécuter des commandes avec les pleins privilèges - c'est exactement ce qui permet de déclencher une sauvegarde ou une restauration à distance. Un système de vérification défaillant sur ce canal-là ouvre directement la porte à des commandes administrateur arbitraires, sans aucune étape intermédiaire.

Le mécanisme exact : udrpc et la clé prévisible

Le détail technique qui rend cette faille exploitable : dans certaines conditions, le résultat du déchiffrement utilisé pour valider une commande peut s'effondrer vers une clé de chiffrement entièrement prévisible, composée uniquement de zéros. Autrement dit, le mécanisme censé garantir qu'une commande provient bien du propriétaire légitime peut être contourné en exploitant ce comportement défaillant du chiffrement, sans avoir besoin de deviner ou de voler la véritable clé secrète.

Une fois cette étape franchie, l'attaquant peut forger des commandes RPC arbitraires que le plugin exécute comme si elles provenaient de l'administrateur connecté légitime - sans avoir présenté ni nom d'utilisateur, ni mot de passe, ni session valide. C'est la définition même d'un contournement d'authentification : le système d'autorisation existe, mais une faille dans son implémentation permet de l'ignorer entièrement.

Ce qu'un attaquant peut faire sans aucun mot de passe

Une fois les commandes RPC forgées acceptées, le chemin vers une prise de contrôle complète est court : un attaquant peut faire installer puis activer un plugin de son choix via ce canal - y compris un plugin contenant une porte dérobée permettant l'exécution de code arbitraire sur le serveur. À partir de là, c'est une prise de contrôle totale du site, sans qu'aucune étape n'ait nécessité la moindre information confidentielle sur l'installation cible.

C'est cette absence totale de prérequis qui explique la vitesse de l'exploitation. Wordfence a documenté une exploitation active dès la divulgation, avec un volume de tentatives bloquées qui a grimpé de près de 5 000 à plus de 8 000 en l'espace de 24 heures - signe que des outils automatisés intègrent généralement très vite ce type de faille sans authentification dans leurs routines de scan de masse.

SiteGround à la rescousse : 128 000 sites patchés en 52 minutes

Face à l'urgence, l'hébergeur SiteGround a pris une mesure rare : forcer la mise à jour du plugin sur l'ensemble de ses sites concernés, sans attendre l'action de chaque propriétaire. « Le 11 juin 2026, notre équipe d'ingénierie a forcé la mise à jour du plugin UpdraftPlus sur tous les sites hébergés exécutant une version vulnérable », a déclaré l'entreprise. Plus de 128 000 sites tournant sur les versions 1.24.x, 1.25.x ou 1.26.x ont été identifiés, testés puis basculés vers la version 1.26.5 corrective - l'ensemble du processus s'est déroulé en environ 52 minutes.

SiteGround a justifié cette intervention directe par une formule sans ambiguïté : « Quand une faille est critique, trivialement exploitable et publiquement divulguée, chaque heure de retard compte. » Tous les hébergeurs n'ont pas cette politique d'intervention proactive : pour la grande majorité des sites WordPress, la mise à jour reste à la charge du propriétaire, sans filet de sécurité côté infrastructure.

Les indicateurs de compromission à vérifier

Plugins installés ou activés sans intervention de votre part, particulièrement entre le 3 et le 11 juin 2026
Comptes administrateurs créés sans votre autorisation
Requêtes anormales vers les endpoints liés à UpdraftCentral dans les logs serveur
Modifications de fichiers récentes sans rapport avec une action volontaire de votre part
Version d'UpdraftPlus antérieure à 1.26.5 toujours active sur le site

Versions concernées et correctif

Plugin Versions vulnérables Version corrigée Faille
UpdraftPlus: WP Backup & Migration ≤ 1.26.4 1.26.5 Contournement d'authentification via UpdraftCentral (CVE-2026-10795)
Comment vérifier votre version : Tableau de bord WordPress → Extensions → recherchez "UpdraftPlus". La version affichée doit être 1.26.5 ou supérieure. Si votre hébergeur figure parmi ceux ayant appliqué un correctif forcé, vérifiez quand même - ne jamais supposer qu'une mise à jour critique a été faite sans la constater vous-même.

Ce qu'il faut faire maintenant

1 - Mettre à jour UpdraftPlus vers la version 1.26.5

Tableau de bord → Extensions → Mises à jour disponibles. Appliquez la mise à jour qui corrige la vérification de signature sur le canal UpdraftCentral.

2 - Vérifier si votre hébergeur a déjà appliqué le correctif

Certains hébergeurs ont forcé la mise à jour sur l'ensemble de leur parc. Vérifiez la version réellement installée plutôt que de présumer une intervention de votre hébergeur.

3 - Vérifier les plugins installés récemment

Dans Extensions → Extensions installées, recherchez tout plugin que vous n'avez pas installé vous-même, signe d'une exploitation de la faille pour déposer du code malveillant.

4 - Vérifier les comptes administrateurs

Dans Utilisateurs → Tous les utilisateurs, recherchez tout compte créé sans votre autorisation. Supprimez-le immédiatement et révoquez ses sessions actives.

5 - Scanner le site complet

Utilisez Wordfence ou Sucuri pour détecter d'éventuelles modifications malveillantes effectuées avant l'application du correctif. En cas de doute, faites appel à un expert WordPress pour un audit complet.

Si vous gérez plusieurs sites et ne pouvez pas surveiller chaque bulletin de sécurité dès sa publication, c'est exactement ce que couvre un contrat de maintenance WordPress : application des correctifs critiques dans les heures suivant leur publication, sans attendre une exploitation de masse - même sur les plugins les plus établis et les plus recommandés du marché.

Chronologie

  • 1
    3 juin 2026
    Réservation de l'identifiant CVE-2026-10795 suite au signalement du chercheur XU WEI TING.
  • 2
    11 juin 2026
    Divulgation publique par Wordfence. Un code de démonstration (PoC) devient disponible publiquement le même jour, accélérant l'exploitation.
  • 3
    11 juin 2026
    SiteGround force la mise à jour vers la version 1.26.5 sur plus de 128 000 sites concernés, en environ 52 minutes.
  • 4
    12 juin 2026
    Wordfence documente une exploitation active croissante, avec un volume de tentatives bloquées dépassant 8 000 sur 24 heures.

FAQ - Faille UpdraftPlus CVE-2026-10795

UpdraftPlus est recommandé partout comme plugin de sauvegarde, est-il toujours fiable malgré cette faille ?

Oui, à condition d'être à jour. UpdraftPlus reste un plugin de sauvegarde sérieux et largement éprouvé - cette faille touche son système de gestion à distance, pas son cœur de fonctionnalité de sauvegarde. La version 1.26.5 corrige le problème. Un plugin avec une faille corrigée rapidement n'est pas moins fiable qu'un plugin qui n'aurait jamais été audité par des chercheurs en sécurité.

Dois-je m'inquiéter si je n'utilise pas UpdraftCentral ?

UpdraftCentral est au cœur du mécanisme de la faille, mais le code vulnérable est présent dans le plugin dès son installation, que vous utilisiez cette fonctionnalité ou non. La mise à jour reste nécessaire pour tous les utilisateurs d'UpdraftPlus, pas seulement ceux qui utilisent la gestion à distance.

Comment savoir si mon hébergeur a déjà appliqué le correctif ?

Vérifiez directement la version d'UpdraftPlus affichée dans Extensions → Extensions installées. Si elle indique 1.26.5 ou une version ultérieure, le correctif est appliqué. Ne supposez jamais qu'une mise à jour critique a été faite sans la vérifier vous-même.

Que faire si je découvre que mon site a été compromis avant la mise à jour ?

Recherchez tout plugin installé sans votre intervention et tout compte administrateur que vous ne reconnaissez pas. Si vous en trouvez, faites auditer l'intégralité du site - un attaquant qui a obtenu un accès administrateur a pu installer plusieurs portes dérobées simultanément. Une restauration depuis une sauvegarde antérieure à l'incident reste la solution la plus fiable en cas de doute.

Pourquoi le score CVSS est-il "seulement" 8.1 si l'impact est une prise de contrôle totale ?

Le score reste dans la catégorie "élevée", pas "critique" (qui commence à 9.0), parce que l'exploitation nécessite une complexité d'attaque notée comme haute - contourner la vérification cryptographique du système udrpc demande une préparation technique plus poussée qu'une simple requête HTTP. Mais une fois cette étape franchie, l'impact est total : confidentialité, intégrité et disponibilité sont toutes notées au maximum dans le calcul du score.

Même l'outil de secours peut devenir le problème

Il y a une leçon particulière dans cette faille, au-delà des correctifs à appliquer. UpdraftPlus est l'outil qu'on installe spécifiquement pour se protéger contre la perte de données - le filet de sécurité qu'on configure une fois et qu'on a tendance à ne plus jamais remettre en question. C'est exactement ce type d'outil "de confiance par défaut" qui devient le plus dangereux quand une faille y est découverte : personne ne pense à le surveiller en priorité, justement parce qu'il a pour mission de surveiller le reste.

Aucun plugin, quelle que soit sa popularité ou son ancienneté, n'est définitivement à l'abri. Le réflexe que cette affaire devrait laisser n'est pas de se méfier d'UpdraftPlus en particulier - le correctif existe, le plugin reste recommandable - mais de comprendre qu'un nombre d'installations élevé n'est pas une garantie de sécurité, seulement une garantie que la prochaine faille découverte touchera beaucoup de monde en même temps.

Mise à jour : cette faille a eu une conséquence concrète au-delà d'UpdraftPlus lui-même. Des attaquants l'ont exploitée pour voler une clé d'API CDN chez l'éditeur d'OptinMonster, déclenchant une attaque supply chain sur trois plugins marketing distincts.

À propos de l'auteur

Yohann LE DU

Expert WordPress & Sécurité web

Développeur senior depuis plus de 20 ans, spécialiste WordPress et sécurité web. Yohann accompagne les TPE, PME et associations dans la maintenance préventive et la sécurisation de leurs sites WordPress.

UpdraftPlus sur votre site ? Vérifiez votre version maintenant.

Une version non à jour expose votre site à une prise de contrôle totale, sans aucun mot de passe nécessaire. Notre maintenance WordPress applique les correctifs critiques dans les heures suivant leur publication.