Cyberattaques : la DGSSI avertit des failles critiques de WordPress
La Direction générale de la sécurité des systèmes d’information (DGSSI) a lancé une alerte le 13 mars 2026 concernant des vulnérabilités critiques affectant plusieurs extensions de la plateforme WordPress. Le Centre de veille, de détection et de réaction aux attaques informatiques (MaCERT) a traité 879 incidents cybernétiques entre janvier et septembre 2025, dont 109 ont nécessité des interventions urgentes.
La Direction générale de la sécurité des systèmes d’information (DGSSI), qui dépend de l’Administration de la défense nationale, a émis une alerte au sujet de vulnérabilités critiques touchant plusieurs extensions de la plateforme WordPress, pouvant être utilisées lors de cyberattaques visant des sites web.
Dans un bulletin de sécurité diffusé le 13 mars 2026, l’organisme spécifie que ces failles présentent un niveau de risque élevé, puisque les attaquants pourraient ainsi exécuter du code à distance, télécharger des fichiers malveillants sur les serveurs ciblés, ou supprimer des fichiers essentiels à la bonne marche des sites affectés.
Les vulnérabilités concernent en particulier plusieurs extensions populaires de WordPress, comme WooCommerce, Ally et wpDiscuz, surtout dans leurs anciennes versions qui n’ont pas encore fait l’objet de mises à jour.
Il est important de noter que WordPress est un système de gestion de contenu (CMS) qui permet de créer et de gérer des sites internet sans nécessiter de compétences techniques avancées. Très utilisé à l’échelle mondiale, il alimente une grande partie des sites web, qu’ils soient institutionnels, médiatiques ou commerciaux. Son fonctionnement repose sur des extensions, appelées « plugins », qui ajoutent des fonctionnalités supplémentaires aux sites.
Selon la DGSSI, l’exploitation de ces failles pourrait permettre aux cybercriminels d’accéder à des informations sensibles, d’accroître leurs privilèges sur le site, ou même de prendre le contrôle du compte administrateur. Dans certains cas, cela pourrait entraîner la compromission complète du site ainsi que la modification ou la suppression de son contenu.
Pour atténuer ces risques, la DGSSI exhorte les administrateurs de sites web et les responsables techniques à procéder immédiatement à la mise à jour des extensions concernées et à consulter les bulletins de sécurité émis par les développeurs de WordPress afin d’appliquer les correctifs nécessaires. Cette alerte intervient alors que les incidents de cybersécurité se multiplient. Le Centre de veille, de détection et de réaction aux attaques informatiques (MaCERT), rattaché à la DGSSI, a rapporté avoir géré 879 incidents cybernétiques entre janvier et septembre 2025, dont 109 ont exigé des interventions urgentes de ses équipes.
Lors de la présentation du projet de budget annexe de l’Administration de la défense nationale pour 2026, le ministre délégué, Abdellatif Loudiyi, a révélé qu’un audit de 76 applications web liées à des institutions sensibles avait permis d’identifier des vulnérabilités critiques dans 20 d’entre elles. Au cours de la même période, le centre MaCERT a diffusé 511 bulletins de sécurité, dont 248 classés critiques, afin d’informer les acteurs nationaux et de leur fournir les éléments nécessaires pour corriger rapidement les problèmes identifiés.
D’après les experts, ces données soulignent l’importance croissante de la cybersécurité pour protéger les infrastructures numériques et rappellent aux organisations, qu’elles soient publiques ou privées, la nécessité de maintenir leurs systèmes et logiciels à jour pour réduire les risques de cyberattaques.
