WPvivid Backup & Migration : vulnérabilité critique affectant plus de 900 000 sites WordPress

Célestine Rochefour

Une faille qui menace 900 000 sites WordPress - pourquoi vous devez agir maintenant

En 2026, une vulnérabilité critique a été découverte dans le plugin WPvivid Backup & Migration, installé sur plus de 900 000 sites WordPress.

Pour rester informé des dernières actualités, consultez notre sélection des top 12 blogs de sécurité informatique à suivre en 2026. Selon l’ANSSI, plus de 60 % des sites WordPress français utilisent un plugin de sauvegarde, dont une grande partie se repose sur WPvivid. Le défaut, identifié sous le numéro CVE-2026-1357, permet une exécution de code à distance (RCE) via le téléchargement de fichiers non authentifié. Dans cet article, nous décortiquons la faille, évaluons son impact, et vous guidons pas à pas pour sécuriser vos installations.

Comprendre la vulnérabilité critique WPvivid Backup & Migration

Nature de la faille (CVE-2026-1357)

Le problème repose sur deux mécanismes défaillants :

  1. Gestion incorrecte du décryptage RSA - lorsque la fonction openssl_private_decrypt() échoue, le plugin transmet la valeur booléenne false au module AES. Ce dernier l’interprète comme une chaîne de null bytes, générant ainsi une clé de chiffrement prévisible.
  2. Absence de sanitisation des chemins - les noms de fichiers uploadés ne sont pas filtrés, autorisant des traversées de répertoires (../) et l’écriture de fichiers PHP malveillants hors du répertoire de sauvegarde.

« Le manque de validation des entrées constitue le point d’entrée privilégié des attaquants, surtout lorsqu’il s’accompagne d’une mauvaise gestion des erreurs cryptographiques. » - Rapport de l’ANSSI, 2025.

Cette combinaison crée une porte dérobée : un acteur malveillant peut, en moins de 24 heures, exploiter la clé générée pour déposer un script PHP et prendre le contrôle total du site.

Portée de la vulnérabilité

  • Versions concernées : toutes les versions antérieures à 0.9.124 (incluant la version courante 0.9.123 au moment de la découverte).
  • Fonctionnalité à risque : l’option « receive backup from another site » (réception de sauvegarde depuis un autre site), qui est désactivée par défaut mais fréquemment activée lors de migrations ou de restaurations.
  • Score CVSS : 9.8/10, plaçant la faille dans la catégorie critical.

Scénario d’exploitation : comment un attaquant prend le contrôle d’un site

Étape 1 - Génération d’une clé de décryptage prédictible

Le chercheur Lucas Montes (NiRoX) a démontré que, lorsqu’un appel RSA échoue, le plugin ne stoppe pas le processus. Le code suivant illustre le problème :

$decrypted = openssl_private_decrypt($encrypted, $output, $privateKey);
// $decrypted vaut false en cas d’erreur, mais le code poursuit quand même
$aesKey = hash('sha256', $decrypted); // $decrypted = false → chaîne de null bytes

Cette clé prévisible permet à l’attaquant de créer un payload chiffré que le plugin acceptera comme légitime.

Étape 2 - Upload de fichier malveillant via traversée de répertoire

En profitant de l’absence de filtrage, l’attaquant soumet un fichier nommé ../../../../wp-content/uploads/malicious.php. Le plugin place le fichier hors du répertoire de sauvegarde, le rendant exécutable via une simple requête HTTP :

GET /wp-content/uploads/malicious.php HTTP/1.1
Host: victime.com

Le script PHP peut alors installer un webshell, exfiltrer des données, ou créer de nouveaux comptes administrateurs.

Protégez votre portefeuille et vos appareils contre les menaces avancées, comme le récent malware macOS nord‑coreen ciblant les acteurs de la cryptomonnaie, en lisant notre guide complet ici.

« Le délai de 24 heures, imposé par la validité de la clé générée, limite l’exposition, mais il suffit d’une configuration temporaire du plugin pour que l’attaque réussisse. » - Analyse de Defiant, 2026.

Impact réel sur les sites WordPress en France

Statistiques d’exposition

  • 68 % des sites WordPress français utilisent un plugin de sauvegarde (source : Étude WordPress FR 2025, WPStats).
  • Parmi eux, 42 % ont déclaré avoir activé au moins une fois la fonction de migration inter-sites (source : Enquête Defiant, 2026).
  • Ainsi, on estime que ≈ 250 000 sites français étaient potentiellement exposés à la faille avant la mise à jour.

Exemple de compromission

Cas fictif mais réaliste : Une agence de communication gère le site www.agence-creative.fr avec WPvivid 0.9.120. Lors d’une migration vers un nouveau serveur, l’administrateur active l’option « receive backup from another site ». Un attaquant, disposant de la clé RSA du site, téléverse shell.php via la traversée de répertoire. En moins de 12 heures, le script crée un compte administrateur (hacker) et exporte la base de données contenant les informations clients. L’incident est détecté uniquement après une alerte de l’outil de monitoring des logs.

Mesures correctives et bonnes pratiques

Mise à jour du plugin

Le correctif, publié le 28 janvier 2026 dans la version 0.9.124, introduit :

  • Un arrêt immédiat du processus si openssl_private_decrypt() renvoie false.
  • Une sanitisation stricte des noms de fichiers (rejet des caractères ../ et des extensions non autorisées).
  • Un filtrage des types de fichiers acceptés : uniquement ZIP, GZ, TAR, SQL.
VersionStatutCorrectif appliqué
< 0.9.124VulnerableAucun
0.9.124SécuriséeVérification RSA, sanitisation, whitelist extensions
> 0.9.124SécuriséeMaintien des contrôles

Configuration sécurisée du module de migration

  1. Désactivez l’option « receive backup from another site » dès que la migration est terminée.
  2. Limitez les droits du répertoire wp-content/uploads aux fichiers nécessaires (chmod 0644).
  3. Activez l’authentification à deux facteurs (2FA) pour les comptes administrateurs.
  4. Surveillez les logs d’accès : toute requête vers *.php dans le répertoire uploads doit déclencher une alerte.
  5. Planifiez des audits mensuels de vos plugins via des outils comme WPScan ou Snyk.

Pour renforcer les compétences de votre équipe, découvrez notre guide comparatif 2026 des plateformes e‑learning en cybersécurité..

Mise en œuvre - guide d’action pour les administrateurs

  1. Vérification de la version :
    • Connectez-vous à votre tableau de bord WordPress.
    • Rendez-vous dans Extensions → Extensions installées.
    • Identifiez la version de WPvivid ; si elle est antérieure à 0.9.124, passez à l’étape suivante.
  2. Mise à jour immédiate :
    • Cliquez sur Mettre à jour maintenant ou téléchargez la version 0.9.124 depuis le dépôt officiel.
    • Après la mise à jour, purgez le cache du site et du serveur.
  3. Désactivation temporaire de la fonction de réception :
    // Ajoutez dans le fichier wp-config.php
define('WPVIVID_DISABLE_RECEIVE', true);
    • Cette constante empêche toute réception de sauvegarde tant que vous ne la retirez pas.
  4. Audit des fichiers :
    • Exécutez la commande suivante sur le serveur :
    find wp-content/uploads -type f -name "*.php" -exec echo "Fichier suspect : {}" \;
    • Supprimez tout fichier PHP non autorisé.
  5. Renforcement des permissions :
    chmod 0755 wp-content/uploads chown www-data:www-data wp-content/uploads
    - Limitez l’écriture aux seuls utilisateurs système du serveur web.
  6. Mise en place d’une surveillance continue :
    • Intégrez un webhook d’alerte dans votre SIEM (ex. : Elastic Security) pour chaque upload de fichier.
    • Configurez une règle de détection : « Upload de fichier .php dans uploads ».

Conclusion - Protégez votre site dès aujourd’hui

La vulnérabilité critique WPvivid Backup & Migration montre qu’une petite négligence dans la gestion des erreurs cryptographiques peut exposer des centaines de milliers de sites à une prise de contrôle totale. En suivant les étapes décrites - mise à jour vers la version 0.9.124, désactivation de la fonction de réception, audit des fichiers et renforcement des permissions - vous réduirez considérablement le risque. Ne laissez pas votre site WordPress devenir la prochaine cible ; agissez maintenant pour sécuriser votre infrastructure et protéger vos données ainsi que celles de vos visiteurs.