Mis à jour le 11 mars 2026 pour intégrer la publication de WordPress 6.9.4.
Publiée le 10 mars 2026, WordPress 6.9.2 est une version de maintenance entièrement dédiée à la sécurité. Elle corrige dix vulnérabilités, dont certaines potentiellement sérieuses. Dans la foulée, deux versions correctives ont été publiées : 6.9.3 pour résoudre un problème d’affichage, puis 6.9.4 car trois des correctifs de sécurité de la 6.9.2 n’avaient pas été complètement appliqués.
Trois versions en deux jours, c’est exceptionnel et plutôt rare dans l’histoire de WordPress, tout au moins dans la mienne. Cela témoigne à la fois de la complexité d’un correctif de sécurité appliqué à grande échelle, et de la réactivité de l’équipe de développement, qui n’a pas attendu pour corriger le tir. Un grand merci à eux pour le travail abattu.
Pour les lecteurs qui souhaitent consulter les détails techniques complets, l’annonce officielle de WordPress 6.9.2 est disponible sur le site de WordPress (en anglais) :
https://wordpress.org/news/2026/03/wordpress‑6 – 9‑2-release/
Si vous gérez un ou plusieurs sites WordPress, voici ce qu’il faut retenir de ces trois mises à jour.
Une mise à jour automatique dans la plupart des cas
WordPress active par défaut les mises à jour automatiques en arrière-plan pour les versions mineures liées à la sécurité.
Concrètement, sauf si les mises à jour automatiques ont été explicitement désactivées sur votre site (via une constante dans wp-config.php ou une extension dédiée), votre site est très probablement déjà passé en version 6.9.4 sans intervention de votre part.
La première chose à faire consiste simplement à vérifier que tout s’est bien déroulé. Dans votre administration WordPress, rendez-vous dans Tableau de bord → Mises à jour et assurez-vous que votre site utilise bien la dernière version disponible.
Si vous gérez plusieurs sites WordPress, un outil de gestion centralisée comme MainWP ou WP Umbrella permet de vérifier rapidement l’état de toutes vos installations.
Les dix failles de sécurité corrigées dans WordPress 6.9.2
La version 6.9.2 corrige plusieurs types de vulnérabilités. Voici les principales, expliquées simplement.
Blind SSRF (Server-Side Request Forgery)
Une faille de type SSRF permet à un attaquant de pousser le serveur à effectuer des requêtes vers d’autres ressources internes (réseau local, métadonnées d’un environnement cloud, etc.).
Même si le résultat de ces requêtes n’est pas directement visible pour l’attaquant, cela peut parfois servir de point d’appui pour d’autres attaques.
Faiblesse dans l’HTML API et le Block Registry
Une faiblesse a été identifiée dans deux composants internes de WordPress liés au système de blocs.
Dans certaines situations, elle pouvait être utilisée pour permettre l’exécution de code non autorisé dans certains contextes. Cette faille a été corrigée dans cette version.
ReDoS (Regex Denial of Service)
Une expression régulière mal formulée pouvait être exploitée pour provoquer une consommation excessive de ressources serveur.
Concrètement, une requête spécialement conçue pouvait ralentir fortement le site, voire le rendre temporairement inaccessible.
XSS stocké dans les menus de navigation
Une faille de type XSS (Cross-Site Scripting) permet d’injecter du code JavaScript malveillant dans une page. Dans ce cas précis, la vulnérabilité concernait les menus de navigation et pouvait permettre l’exécution de code dans le navigateur d’un administrateur ou d’un visiteur.
Contournement d’autorisation dans query-attachments (AJAX)
Une vérification des permissions était insuffisante dans une fonctionnalité utilisée pour interroger les fichiers médias via AJAX. Dans certaines situations, cela pouvait permettre d’accéder à des médias normalement restreints.
XSS stocké via la directive data-wp-bind
Une autre faille XSS a été identifiée dans l’API d’interactivité de WordPress, le système qui gère certains comportements dynamiques côté navigateur. Cette vulnérabilité a également été corrigée.
XSS dans certains templates de l’interface d’administration
Une faille permettait de modifier certains templates JavaScript utilisés dans l’interface d’administration. Cela pouvait conduire à des manipulations de l’interface ou à l’exécution de code non souhaité.
Path traversal dans la bibliothèque PclZip
WordPress utilise la bibliothèque PclZip pour manipuler les archives ZIP.
Une faille dite de path traversal pouvait permettre, dans certaines conditions, d’écrire des fichiers en dehors du répertoire prévu lors de l’extraction d’une archive.
Contournement d’autorisation dans la fonctionnalité Notes
La fonctionnalité Notes introduite récemment dans WordPress comportait une vérification d’autorisation incomplète. Dans certains cas, cela pouvait permettre d’accéder ou de modifier des notes sans disposer des droits nécessaires.
Vulnérabilité XXE dans la bibliothèque getID3
WordPress utilise la bibliothèque getID3 pour analyser les métadonnées des fichiers audio et vidéo.
Une faille XXE (XML External Entity) pouvait permettre à un fichier malveillant de déclencher des requêtes externes ou de tenter d’accéder à certaines informations serveur.
La bibliothèque a été mise à jour en coordination avec son mainteneur.
Les versions correctives : 6.9.3 et 6.9.4
WordPress 6.9.3 : un problème d’affichage
Peu après la diffusion de la version 6.9.2, certains utilisateurs ont signalé un problème d’affichage sur leurs sites. Dans certains cas particuliers liés à la manière dont certains thèmes chargent leurs fichiers de template, le site pouvait afficher une page blanche côté front-end après la mise à jour.
La version 6.9.3 corrige ce comportement. Vous pouvez consulter la note officielle ici :
https://wordpress.org/documentation/wordpress-version/version‑6 – 9‑3/
WordPress 6.9.4 : des correctifs de sécurité incomplets
Le 11 mars 2026, l’équipe de sécurité WordPress a découvert que trois des correctifs inclus dans la version 6.9.2 n’avaient pas été complètement appliqués. Une quatrième version, WordPress 6.9.4, a donc été publiée dans la foulée pour finaliser ces correctifs.
Les trois failles concernées sont :
- le path traversal dans PclZip
- le contournement d’autorisation dans la fonctionnalité Notes
- la vulnérabilité XXE dans la bibliothèque getID3
Si votre site n’est pas encore en version 6.9.4, c’est la version à installer en priorité. L’annonce officielle est ici : https://wordpress.org/news/2026/03/wordpress‑6 – 9‑4-release/
Ce que cela signifie pour votre site
La diversité des vulnérabilités corrigées montre à quel point WordPress s’appuie aujourd’hui sur de nombreux composants : gestion des médias, API JavaScript, bibliothèques externes, système de blocs, etc. La bonne nouvelle est que ces correctifs ont été déployés rapidement et automatiquement sur la majorité des sites.
Comment faire si la mise à jour n’a pas été automatique ?
- Depuis l’admin WordPress : allez dans le menu « Tableau de bord > Mises à jour » et suivez les instructions.
- Via WP-CLI : si vous avez un accès SSH, vous pouvez lancer
wp core update
Si vous avez un doute sur la manière de procéder ou si vous voulez éviter les mauvaises surprises, consultez notre guide complet : Comment faire les mises à jour dans WordPress (et ne rien casser)
Et la suite ? WordPress 7.0 arrive bientôt
La prochaine version majeure, WordPress 7.0, est prévue pour le 9 avril 2026.
Au programme notamment : collaboration en temps réel, intégration progressive de l’IA, nouveaux blocs et plusieurs évolutions de l’administration. Comme à chaque sortie majeure, nous publierons un article dédié pour vous présenter les nouveautés en détail.
Mais comment peut-on découvrir toujours plus autant de failles de sécurité, année après année ?
C’est une question qu’on pourrait poser pour n’importe quel système informatique : Windows, Android, les navigateurs web, les CMS… La réalité, c’est que les attaques se multiplient, les experts en sécurité sont de plus en plus nombreux et outillés, et les logiciels eux-mêmes gagnent en complexité à chaque version.
Dans ce contexte, découvrir des failles est inévitable. Ce qui compte vraiment, c’est la réactivité avec laquelle elles sont corrigées, et sur ce point, WordPress s’en sort plutôt bien.
En réponse à mVdC, voir https://wpformation.com/wordpress-mort-objections-2026/.