La DGSSI alerte sur des vulnérabilités critiques menaçant l’écosystème WordPress

LA VÉRITÉ

La Direction générale de la sécurité des systèmes d’information (DGSSI) vient de publier un bulletin d’alerte orange pour signaler des failles majeures dans plusieurs extensions populaires. Cette situation expose potentiellement des milliers de plateformes d’information et de sites de commerce électronique à des intrusions malveillantes.

Le paysage numérique marocain fait face à un défi de sécurité d’envergure après l’identification de vulnérabilités « importantes » par la Direction générale de la sécurité des systèmes d’information. Dans son récent bulletin de sécurité n°62021303/26, l’organisme rattaché à l’Administration de la Défense nationale met en garde contre l’exploitation de failles critiques nichées au cœur d’extensions WordPress massivement utilisées. Les plateformes de vente en ligne utilisant WooCommerce ainsi que les sites équipés des plugins Ally ou wpDiscuz se retrouvent en première ligne. Cette alerte souligne la fragilité des infrastructures qui ne bénéficieraient pas d’une maintenance rigoureuse, car ces brèches permettent aux attaquants d’obtenir des privilèges étendus sur les systèmes compromis, transformant un simple site web en une porte d’entrée pour des cybercriminels.

La nature technique de ces menaces illustre la sophistication croissante des vecteurs d’attaque en 2026. L’exploitation de ces failles repose sur des mécanismes redoutables tels que l’exécution de code à distance (RCE), identifiée sous la référence internationale CVE-2026-3891. Ce procédé permet à un acteur malveillant de prendre le contrôle total des serveurs sans interaction préalable de l’administrateur. En parallèle, des vulnérabilités de type injection SQL et d’envoi de fichiers arbitraires sans authentification facilitent l’accès aux bases de données confidentielles. En l’absence de correctifs, les attaquants peuvent ainsi modifier ou supprimer des fichiers critiques, usurper des comptes administrateurs et manipuler des données sensibles appartenant aux utilisateurs et aux clients, compromettant irrémédiablement la réputation et la sécurité des entreprises concernées.

Face à l’urgence, le Centre marocain de veille, de détection et de réponse aux attaques informatiques (maCERT) précise les versions spécifiques nécessitant une intervention immédiate. Sont ainsi déclarées vulnérables les versions de WooCommerce antérieures à la 1.6.0, celles d’Ally antérieures à la 4.1.0 et de wpDiscuz antérieures à la 7.6.47. La recommandation officielle de la DGSSI est sans équivoque : les responsables des systèmes d’information des administrations publiques et du secteur privé doivent procéder sans délai à la mise à jour de ces extensions vers leurs versions sécurisées. Au-delà du simple correctif, l’institution préconise une surveillance constante des activités serveurs et une protection renforcée des bases de données afin d’instaurer une culture de la résilience numérique capable de prévenir les crises futures.