UpdraftPlus : une faille permettait de prendre le contrôle total de votre site sans mot de passe
UpdraftPlus, le plugin de sauvegarde le plus utilisé de WordPress avec plus de 3 millions d'installations, contenait une faille critique dans son système de gestion à distance : un attaquant n'ayant ni compte ni mot de passe pouvait forger des commandes exécutées directement avec les privilèges d'un administrateur. Wordfence a confirmé une exploitation active dès la divulgation publique. Sans contrat de maintenance WordPress qui applique les correctifs critiques dès leur publication, ce type de faille touche même les outils sur lesquels vous comptez le plus - nous recommandons d'ailleurs UpdraftPlus dans notre guide sur les sauvegardes WordPress, à condition d'être à jour.
Sommaire
- UpdraftPlus, le plugin de sauvegarde n°1 sur 3 millions de sites
- La faille : une télécommande à distance qui ne vérifie plus rien
- Le mécanisme exact : udrpc et la clé prévisible
- Ce qu'un attaquant peut faire sans aucun mot de passe
- SiteGround à la rescousse : 128 000 sites patchés en 52 minutes
- Les indicateurs de compromission à vérifier
- Versions concernées et correctif
- Ce qu'il faut faire maintenant
- Chronologie
- FAQ
UpdraftPlus, le plugin de sauvegarde n°1 sur 3 millions de sites
UpdraftPlus: WP Backup & Migration est, de loin, le plugin de sauvegarde le plus installé de l'écosystème WordPress : plus de 3 millions de sites l'utilisent pour planifier des sauvegardes automatiques vers Google Drive, Dropbox, Amazon S3 ou un serveur FTP. Sa réputation de fiabilité et sa gratuité en ont fait un standard de facto - y compris dans nos propres recommandations.
Le 11 juin 2026, Wordfence publie la faille CVE-2026-10795, découverte par le chercheur XU WEI TING et notée 8.1 sur l'échelle CVSS : un contournement d'authentification non authentifié. Le terme est inhabituel pour un plugin de sauvegarde - on s'attendrait plutôt à ce type de faille sur un système d'identification, pas sur un outil censé protéger des copies de fichiers.
La faille : une télécommande à distance qui ne vérifie plus rien
UpdraftPlus propose une fonctionnalité appelée UpdraftCentral, qui permet de gérer les sauvegardes de plusieurs sites WordPress depuis un tableau de bord centralisé, à distance. Cette gestion à distance repose sur un protocole de communication interne nommé udrpc (UpdraftPlus Remote Procedure Call) : le site WordPress reçoit des commandes envoyées depuis l'extérieur et les exécute, à condition qu'elles soient correctement signées avec une clé secrète connue uniquement du propriétaire légitime.
La faille se situe dans la fonction UpdraftPlus_Remote_Communications_V2::wp_loaded, chargée de vérifier cette signature avant d'exécuter la moindre commande reçue. Cette vérification s'appuie sur une validation insuffisante du format des messages entrants : un attaquant peut construire une requête qui passe le contrôle sans jamais détenir la clé secrète légitime.
Le mécanisme exact : udrpc et la clé prévisible
Le détail technique qui rend cette faille exploitable : dans certaines conditions, le résultat du déchiffrement utilisé pour valider une commande peut s'effondrer vers une clé de chiffrement entièrement prévisible, composée uniquement de zéros. Autrement dit, le mécanisme censé garantir qu'une commande provient bien du propriétaire légitime peut être contourné en exploitant ce comportement défaillant du chiffrement, sans avoir besoin de deviner ou de voler la véritable clé secrète.
Une fois cette étape franchie, l'attaquant peut forger des commandes RPC arbitraires que le plugin exécute comme si elles provenaient de l'administrateur connecté légitime - sans avoir présenté ni nom d'utilisateur, ni mot de passe, ni session valide. C'est la définition même d'un contournement d'authentification : le système d'autorisation existe, mais une faille dans son implémentation permet de l'ignorer entièrement.
Ce qu'un attaquant peut faire sans aucun mot de passe
Une fois les commandes RPC forgées acceptées, le chemin vers une prise de contrôle complète est court : un attaquant peut faire installer puis activer un plugin de son choix via ce canal - y compris un plugin contenant une porte dérobée permettant l'exécution de code arbitraire sur le serveur. À partir de là, c'est une prise de contrôle totale du site, sans qu'aucune étape n'ait nécessité la moindre information confidentielle sur l'installation cible.
C'est cette absence totale de prérequis qui explique la vitesse de l'exploitation. Wordfence a documenté une exploitation active dès la divulgation, avec un volume de tentatives bloquées qui a grimpé de près de 5 000 à plus de 8 000 en l'espace de 24 heures - signe que des outils automatisés intègrent généralement très vite ce type de faille sans authentification dans leurs routines de scan de masse.
SiteGround à la rescousse : 128 000 sites patchés en 52 minutes
Face à l'urgence, l'hébergeur SiteGround a pris une mesure rare : forcer la mise à jour du plugin sur l'ensemble de ses sites concernés, sans attendre l'action de chaque propriétaire. « Le 11 juin 2026, notre équipe d'ingénierie a forcé la mise à jour du plugin UpdraftPlus sur tous les sites hébergés exécutant une version vulnérable », a déclaré l'entreprise. Plus de 128 000 sites tournant sur les versions 1.24.x, 1.25.x ou 1.26.x ont été identifiés, testés puis basculés vers la version 1.26.5 corrective - l'ensemble du processus s'est déroulé en environ 52 minutes.
SiteGround a justifié cette intervention directe par une formule sans ambiguïté : « Quand une faille est critique, trivialement exploitable et publiquement divulguée, chaque heure de retard compte. » Tous les hébergeurs n'ont pas cette politique d'intervention proactive : pour la grande majorité des sites WordPress, la mise à jour reste à la charge du propriétaire, sans filet de sécurité côté infrastructure.
Les indicateurs de compromission à vérifier
Versions concernées et correctif
| Plugin | Versions vulnérables | Version corrigée | Faille |
|---|---|---|---|
| UpdraftPlus: WP Backup & Migration | ≤ 1.26.4 | 1.26.5 | Contournement d'authentification via UpdraftCentral (CVE-2026-10795) |
Ce qu'il faut faire maintenant
Tableau de bord → Extensions → Mises à jour disponibles. Appliquez la mise à jour qui corrige la vérification de signature sur le canal UpdraftCentral.
Certains hébergeurs ont forcé la mise à jour sur l'ensemble de leur parc. Vérifiez la version réellement installée plutôt que de présumer une intervention de votre hébergeur.
Dans Extensions → Extensions installées, recherchez tout plugin que vous n'avez pas installé vous-même, signe d'une exploitation de la faille pour déposer du code malveillant.
Dans Utilisateurs → Tous les utilisateurs, recherchez tout compte créé sans votre autorisation. Supprimez-le immédiatement et révoquez ses sessions actives.
Utilisez Wordfence ou Sucuri pour détecter d'éventuelles modifications malveillantes effectuées avant l'application du correctif. En cas de doute, faites appel à un expert WordPress pour un audit complet.
Si vous gérez plusieurs sites et ne pouvez pas surveiller chaque bulletin de sécurité dès sa publication, c'est exactement ce que couvre un contrat de maintenance WordPress : application des correctifs critiques dans les heures suivant leur publication, sans attendre une exploitation de masse - même sur les plugins les plus établis et les plus recommandés du marché.
Chronologie
-
13 juin 2026Réservation de l'identifiant CVE-2026-10795 suite au signalement du chercheur XU WEI TING.
-
211 juin 2026Divulgation publique par Wordfence. Un code de démonstration (PoC) devient disponible publiquement le même jour, accélérant l'exploitation.
-
311 juin 2026SiteGround force la mise à jour vers la version 1.26.5 sur plus de 128 000 sites concernés, en environ 52 minutes.
-
412 juin 2026Wordfence documente une exploitation active croissante, avec un volume de tentatives bloquées dépassant 8 000 sur 24 heures.
FAQ - Faille UpdraftPlus CVE-2026-10795
UpdraftPlus est recommandé partout comme plugin de sauvegarde, est-il toujours fiable malgré cette faille ?
Oui, à condition d'être à jour. UpdraftPlus reste un plugin de sauvegarde sérieux et largement éprouvé - cette faille touche son système de gestion à distance, pas son cœur de fonctionnalité de sauvegarde. La version 1.26.5 corrige le problème. Un plugin avec une faille corrigée rapidement n'est pas moins fiable qu'un plugin qui n'aurait jamais été audité par des chercheurs en sécurité.
Dois-je m'inquiéter si je n'utilise pas UpdraftCentral ?
UpdraftCentral est au cœur du mécanisme de la faille, mais le code vulnérable est présent dans le plugin dès son installation, que vous utilisiez cette fonctionnalité ou non. La mise à jour reste nécessaire pour tous les utilisateurs d'UpdraftPlus, pas seulement ceux qui utilisent la gestion à distance.
Comment savoir si mon hébergeur a déjà appliqué le correctif ?
Vérifiez directement la version d'UpdraftPlus affichée dans Extensions → Extensions installées. Si elle indique 1.26.5 ou une version ultérieure, le correctif est appliqué. Ne supposez jamais qu'une mise à jour critique a été faite sans la vérifier vous-même.
Que faire si je découvre que mon site a été compromis avant la mise à jour ?
Recherchez tout plugin installé sans votre intervention et tout compte administrateur que vous ne reconnaissez pas. Si vous en trouvez, faites auditer l'intégralité du site - un attaquant qui a obtenu un accès administrateur a pu installer plusieurs portes dérobées simultanément. Une restauration depuis une sauvegarde antérieure à l'incident reste la solution la plus fiable en cas de doute.
Pourquoi le score CVSS est-il "seulement" 8.1 si l'impact est une prise de contrôle totale ?
Le score reste dans la catégorie "élevée", pas "critique" (qui commence à 9.0), parce que l'exploitation nécessite une complexité d'attaque notée comme haute - contourner la vérification cryptographique du système udrpc demande une préparation technique plus poussée qu'une simple requête HTTP. Mais une fois cette étape franchie, l'impact est total : confidentialité, intégrité et disponibilité sont toutes notées au maximum dans le calcul du score.
Même l'outil de secours peut devenir le problème
Il y a une leçon particulière dans cette faille, au-delà des correctifs à appliquer. UpdraftPlus est l'outil qu'on installe spécifiquement pour se protéger contre la perte de données - le filet de sécurité qu'on configure une fois et qu'on a tendance à ne plus jamais remettre en question. C'est exactement ce type d'outil "de confiance par défaut" qui devient le plus dangereux quand une faille y est découverte : personne ne pense à le surveiller en priorité, justement parce qu'il a pour mission de surveiller le reste.
Aucun plugin, quelle que soit sa popularité ou son ancienneté, n'est définitivement à l'abri. Le réflexe que cette affaire devrait laisser n'est pas de se méfier d'UpdraftPlus en particulier - le correctif existe, le plugin reste recommandable - mais de comprendre qu'un nombre d'installations élevé n'est pas une garantie de sécurité, seulement une garantie que la prochaine faille découverte touchera beaucoup de monde en même temps.