Voici un rapport d'audit réel réalisé sur un site WordPress. Les données sensibles ont ete anonymisees — les vulnérabilités, scores et recommandations sont authentiques.
Vue d'ensemble du niveau de sécurité détecté par nos cinq moteurs d'analyse. Les résultats sont dedupliques et normalises selon le standard CVSS v3.1.
Plusieurs vulnérabilités nécessitent une correction prioritaire. Le CMS est en version EOL non maintenue, avec des plugins retirés du dépôt officiel.
Classification selon le standard CVSS v3.1 — de Critical (9.0+) a Info (informatif). Chaque type de vulnérabilité n'est compte qu'une seule fois.
Cliquez sur une ligne pour afficher les details complets : description, endpoint affecté et recommandation de remédiation.
| # | Sévérité | Vulnérabilité | CVSS | Source | CVE | |
|---|---|---|---|---|---|---|
| 1 | Critical | WordPress EOL — Version non maintenue | 9.0 | CMS Scanner | CWE-1104 | ▶ |
DescriptionLe site utilise une version de WordPress en End-of-Life, qui ne reçoit plus aucun correctif de sécurité. Toutes les vulnérabilités découvertes après la fin de support restent définitivement non corrigées. Un attaquant connaissant la version exacte peut cibler les CVE publiques non patchées. GET / → <meta name="generator" content="WordPress x.x">
RemédiationMigrer vers une version WordPress activement maintenue (6.x). Tester la compatibilite des plugins et du theme dans un environnement de staging. Supprimer la balise meta generator pour ne plus révéler la version en production. |
||||||
| 2 | High | WordPress Core — Certificat SSL expiré dans ca-bundle | 5.8 | CMS Scanner | CWE-295 | ▶ |
DescriptionLe fichier ca-bundle.crt intégré à WordPress Core (versions antérieures à 5.8.2) contient des certificats racine expirés. Cela peut provoquer des échecs de validation SSL lors des requêtes sortantes WordPress (mises à jour, webhooks, API tierces) et ouvrir la porte à des attaques man-in-the-middle. WordPress < 5.8.2 → /wp-includes/certificates/ca-bundle.crt (expired roots)
RemédiationMettre à jour WordPress vers la version 5.8.2 minimum (ou la dernière version 6.x). La mise à jour régénère automatiquement le ca-bundle avec des certificats valides. Vérifier également que PHP dispose d'un bundle CA à jour via le paquet ca-certificates du système. |
||||||
| 3 | High | Plugin Retiré du Dépôt Officiel (supreme-modules-pro) | 7.0 | CMS Scanner | CWE-1104 | ▶ |
DescriptionLe plugin supreme-modules-pro-for-divi a été retiré du dépôt officiel wordpress.org pour raison de sécurité non divulguée. Les plugins retirés ne reçoivent plus de mises à jour automatiques, exposant le site à des vulnérabilités non corrigées et non annoncées publiquement. GET /wp-content/plugins/supreme-modules-pro-for-divi/readme.txt → 200 OK
RemédiationDésinstaller immédiatement le plugin retiré et chercher un équivalent activement maintenu. Vérifier l'historique des accès pour détecter toute exploitation. Auditer tous les plugins installés via l'API WPOrg pour identifier d'autres plugins retirés. |
||||||
| 4 | High | Plugin Retiré du Dépôt Officiel (supreme-mega-menu) | 7.0 | CMS Scanner | CWE-1104 | ▶ |
DescriptionLe plugin supreme-mega-menu a également été retiré du dépôt wordpress.org. La présence de deux plugins retirés du même éditeur suggère un problème systémique de sécurité dans leurs développements. Ces plugins restent actifs et potentiellement exploitables. GET /wp-content/plugins/supreme-mega-menu/readme.txt → 200 OK
RemédiationDésinstaller le plugin et tous les plugins du même éditeur. Remplacer par des alternatives maintenues (ex : Max Mega Menu, WP Mega Menu). Mettre en place une surveillance automatique des plugins via une solution de monitoring WordPress. |
||||||
| 5 | High | jQuery — XSS via HTML non échappé (3.x) | 6.1 | OWASP ZAP | CVE-2020-11022 | ▶ |
DescriptionLa bibliothèque jQuery (3.x) détectée dans le thème présente une vulnérabilité XSS (CVE-2020-11022) : le passage de contenu HTML à certaines méthodes jQuery ($().html(), $().append()) permet l'exécution de code JavaScript arbitraire si le contenu provient d'une source non fiable. GET /wp-content/themes/****/js/jquery.min.js → jQuery 3.x (affected by CVE-2020-11022)
RemédiationMettre à jour la bibliothèque vers sa dernière version stable. Utiliser un outil comme Snyk ou npm audit pour surveiller les dépendances JavaScript. Activer Subresource Integrity (SRI) sur les bibliothèques chargées depuis des CDN externes. |
||||||
| 6 | Medium | Stockage en Clair des Clés d'Activation | 5.3 | CMS Scanner | CVE-2017-14990 | ▶ |
DescriptionWordPress stocke les clés d'activation de compte (wp_signups.activation_key) en clair dans la base de données. En cas de compromission de la base, un attaquant peut activer des comptes non vérifiés ou usurper des inscriptions en attente sans connaitre le mot de passe. Table wp_signups → colonne activation_key (plaintext, toutes versions WP)
RemédiationAppliquer un filtre WordPress pour hasher les clés d'activation avant insertion. Limiter les droits DB de l'utilisateur WordPress à SELECT/INSERT/UPDATE/DELETE uniquement (pas SHOW DATABASES ni FILE). Mettre à jour vers WordPress 6.x qui améliore la gestion des tokens. |
||||||
| 7 | Medium | SSRF non Authentifié — WordPress Core | 4.0 | CMS Scanner | CVE-2022-3590 | ▶ |
DescriptionWordPress est vulnérable à une attaque SSRF (Server-Side Request Forgery) non authentifiée via la fonctionnalité oEmbed. Un attaquant peut forcer le serveur à effectuer des requêtes HTTP vers des ressources internes (metadata cloud, services internes) non accessibles publiquement. GET /wp-json/oembed/1.0/proxy?url=http://[ip-interne]/
RemédiationMettre à jour WordPress vers une version corrigée (6.x). Désactiver oEmbed si non utilisé via : remove_action('wp_head', 'wp_oembed_add_discovery_links'). Configurer un pare-feu sortant pour bloquer les requêtes vers les plages IP internes et les endpoints de métadonnées cloud. |
||||||
| 8 | Medium | Absence de Tokens Anti-CSRF | 4.3 | OWASP ZAP | CWE-352 | ▶ |
DescriptionPlusieurs formulaires du site ne contiennent pas de token CSRF (Cross-Site Request Forgery). Un attaquant peut piéger un utilisateur connecté pour qu'il effectue des actions non désirées (modification de profil, envoi de formulaire) depuis un site tiers à son insu. POST /wp-comments-post.php → absence de nonce WordPress dans certains formulaires
RemédiationUtiliser systématiquement les nonces WordPress (wp_nonce_field(), check_admin_referer()) dans tous les formulaires. Vérifier que les plugins tiers implémentent correctement la protection CSRF. Activer un plugin de sécurité WordPress (Wordfence, iThemes Security) pour auditer les formulaires. |
||||||
| 9 | Medium | En-tête Content Security Policy Absent | 5.1 | OWASP ZAP | CWE-693 | ▶ |
DescriptionL'en-tête Content-Security-Policy (CSP) est absent. Sans CSP, le navigateur autorise le chargement de ressources depuis n'importe quelle source. En cas de vulnérabilité XSS, un attaquant peut injecter et exécuter du code JavaScript arbitraire sans restriction de domaine. GET / → Response headers (Content-Security-Policy: absent)
RemédiationDéfinir une politique CSP stricte via l'en-tête HTTP : Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-{random}'. Commencer en mode report-only pour identifier les sources légitimes avant d'activer le blocage. Des plugins WordPress comme WP Content Security Policy facilitent la configuration. |
||||||
| 10 | Medium | En-tête Anti-Clickjacking Manquant | 4.7 | OWASP ZAP | CWE-1021 | ▶ |
DescriptionL'en-tête X-Frame-Options est absent, autorisant le chargement du site dans une <iframe> depuis n'importe quel domaine. Un attaquant peut superposer le site dans une iframe invisible pour piéger des clics utilisateur (clickjacking), notamment sur des boutons sensibles comme les formulaires de connexion ou de paiement. GET / → Response headers (X-Frame-Options: absent)
RemédiationAjouter l'en-tête X-Frame-Options: DENY dans la configuration serveur (Apache : Header always set X-Frame-Options "DENY"). Ou utiliser la directive CSP frame-ancestors 'none' qui remplace X-Frame-Options dans les navigateurs modernes. |
||||||
Analyse approfondie du CMS, de sa version, de son etat de support et de chaque module installe. Les modules dépréciés ou vulnérables sont signales.
| Plugin | Version | Statut |
|---|---|---|
| supreme-modules-pro-for-divi | 4.5.1 | ✗ RETIRÉ (wordpress.org) |
| supreme-mega-menu | 2.3.0 | ✗ RETIRÉ (wordpress.org) |
| contact-form-7 | 5.7.2 | ⚠ OBSOLÈTE |
| woocommerce | 7.4.0 | ⚠ OBSOLÈTE |
| elementor | 3.14.1 | ✓ OK |
| yoast-seo | 20.4 | ✓ OK |
| wordfence | 7.9.1 | ✓ OK |
| akismet | 5.2 | ✓ OK |
Vérification des 7 en-têtes HTTP de sécurité recommandés par l'OWASP. Chaque en-tete absent représenté un vecteur d'attaque potentiel exploitable sans authentification.
| En-tete | Statut | Risque |
|---|---|---|
| Strict-Transport-Security (HSTS) | ✗ Absent | Élevé — Vulnerable au downgrade HTTP |
| Content-Security-Policy (CSP) | ✗ Absent | Élevé — Pas de protection XSS |
| X-Frame-Options | ✓ Present (SAMEORIGIN) | — |
| X-Content-Type-Options | ✓ Present (nosniff) | — |
| X-XSS-Protection | ✗ Absent | Moyen — Protection navigateur inactive |
| Referrer-Policy | ✗ Absent | Moyen — Fuite d'informations possibles |
| Permissions-Policy | ✗ Absent | Faible — Pas de restriction de fonctionnalités |
Les actions correctives sont groupées par niveau de criticite et par délai de remédiation recommandé. Commencez par les actions critiques — elles couvrent les risques les plus eleves.
Identifiez vos vulnérabilités avant qu'un attaquant ne les découvre. Notre scan multi-moteurs analysé votre site en moins de 30 minutes et produit un rapport complet avec recommandations actionnables.