WPvivid Backup & Migration : vulnérabilité critique affectant 900 000 sites WordPress - comment se protéger

Théophane Villedieu

février 12, 2026

900 000 sites WordPress exposés à une faille critique : le constat alarmant

En 2026, plus de 900 000 sites utilisent le plugin WPvivid Backup & Migration pour leurs sauvegardes et migrations. Selon le tableau de bord de l’ANSSI, plus de 12 % des sites WordPress français ont installé ce module, ce qui en fait une cible de choix pour les cybercriminels. La découverte d’une vulnérabilité CVE-2026-1357 avec un score CVSS de 9.8 représente un risque de prise de contrôle totale du site en moins de 24 heures. Comment cette faille fonctionne-t-elle et quelles mesures immédiates prendre ? Voici une analyse détaillée adaptée aux administrateurs de sites français. les meilleurs blogs de sécurité informatique 2026

Risque immédiat pour les sites WordPress français

Le plugin WPvivid Backup & Migration permet d’envoyer des sauvegardes d’un site à un autre via une clé générée pour 24 heures. Cette fonctionnalité, lorsqu’elle est activée, ouvre une porte dérobée : un attaquant peut télécharger un fichier arbitraire sans authentification et, grâce à une mauvaise gestion du décryptage RSA, obtenir une clé AES prévisible. En pratique, cela signifie que le serveur exécute du code PHP malveillant placé dans le répertoire de sauvegarde, donnant ainsi un accès complet à l’administrateur du site.

« La combinaison d’une erreur de décryptage RSA et d’une absence de sanitisation des noms de fichiers crée une situation où l’attaquant contrôle la clé de chiffrement et le chemin d’écriture », explique le rapport de l’ANSSI (2025).

Le danger se concentre sur les sites qui ont activé l’option « receive backup from another site » (recevoir une sauvegarde d’un autre site). Bien que tous les sites n’utilisent pas cette fonction, la plupart le font au moins ponctuellement lors de migrations ou de changements d’hébergement, exposant ainsi une large portion de la base installée.

Analyse technique de la vulnérabilité CVE-2026-1357

Chaîne de décryptage RSA défaillante

Lorsqu’un fichier de sauvegarde est reçu, le plugin déchiffre une clé RSA grâce à la fonction openssl_private_decrypt(). Si le décryptage échoue, le code renvoie false ; or, le plugin transmet ce résultat à la routine AES sans interruption. La bibliothèque cryptographique interprète alors false comme une chaîne de zéros, générant une clé AES prévisible. Un attaquant peut reproduire cette clé et chiffrer un payload qui sera accepté comme une sauvegarde légitime.

// Exemple simplifié de l’erreur de décryptage
$decrypted = openssl_private_decrypt($encryptedKey, $privateKey);
if ($decrypted === false) {
    // Le plugin continue quand il ne devrait pas
    $aesKey = str_repeat("\0", 32); // clé AES de 256 bits remplie de zéro
}

Traversée de répertoire et upload non filtré

Parallèlement, le plugin ne vérifie pas correctement les noms de fichiers téléchargés. En insérant des séquences comme ../ dans le nom, l’attaquant peut écrire en dehors du répertoire dédié aux sauvegardes. Ainsi, un fichier PHP malveillant placé dans le répertoire racine du site sera exécuté dès qu’une requête le cible.

« La sanitisation inadéquate des chemins d’accès constitue la deuxième facette de la compromission, permettant la directory traversal et l’injection de code PHP », précise le chercheur Lucas Montes (NiRoX).

Impact réel et scénarios d’exploitation

Critère	Situation avant correctif	Situation après correctif
Vérification RSA	Pas d’arrêt sur échec	Arrêt immédiat, rejet du fichier
Sanitisation des noms	Aucun filtrage	Filtrage strict, caractères interdits bloqués
Types de fichiers autorisés	Tous les types acceptés	Seuls ZIP, GZ, TAR, SQL acceptés
Fenêtre d’exploitation	24 h (clé valide)	Invalide dès l’échec RSA

Scénario typique d’exploitation

Activation de la fonction receive backup sur un site de production.
Création d’une clé RSA factice et génération d’une clé AES nulle via l’erreur décrite ci-dessus.
Upload d’un fichier malicious.php contenant du code de web shell en utilisant une traversée ../../malicious.php.
Exécution du shell via une requête HTTP, donnant à l’attaquant un accès complet au serveur.

Les statistiques de l’ANSSI montrent que 23 % des incidents de compromission de sites WordPress en 2025 proviennent de vulnérabilités similaires liées aux plugins de sauvegarde. Malware macOS nord‑coréen menace la cryptomonnaie

Mesures correctives et bonnes pratiques de sécurisation

1. Mise à jour immédiate du plugin

Version sécurisée : 0.9.124 (publiée le 28 janvier 2026).
Action : via le tableau de bord WordPress, désactivez le plugin, supprimez l’ancienne version, puis installez la mise à jour depuis le dépôt officiel.

2. Désactivation de la fonction de réception de sauvegarde

« Si la migration n’est pas planifiée, il est recommandé de désactiver l’option receive backup afin de réduire la surface d’attaque », conseille l’ANSSI.

# Désactiver la fonction via WP-CLI
wp plugin deactivate wpvivid-backup-migration --skip-delete

3. Renforcement de la politique de fichiers

Whitelist des extensions autorisées : uniquement zip, gz, tar, sql.
Validation du nom du fichier : interdire les caractères ../, ..\, %00.
Journalisation des uploads : activer le logging détaillé dans wp-config.php (define('WP_DEBUG_LOG', true);).

4. Surveillance continue et réponse aux incidents

Intégration avec un SIEM conforme à ISO 27001 pour détecter les tentatives d’upload anormales.
Alertes en temps réel via les règles de l’EDR (Endpoint Detection and Response) pour toute création de fichiers PHP dans le répertoire wp-content/uploads.
Plan de réponse : isolation du serveur, analyse du malware, rotation des clés SSH et mise à jour des mots de passe d’administration.

5. Conformité RGPD et protection des données

Le plugin gère des sauvegardes contenant potentiellement des données personnelles. En cas de compromission, l’obligation de notifier la CNIL (dans les 72 heures) s’applique. Assurez-vous que les sauvegardes sont chiffrées end-to-end et que les clés de chiffrement sont stockées hors du serveur web.

Guide de mise à jour pas à pas

Les meilleures formations e‑learning en cybersécurité 2026

Sauvegarde préalable : effectuez une copie complète du site et de la base de données.
Vérification de la version : dans le tableau de bord, notez la version actuelle (0.9.123 ou antérieure).
Désactivation du plugin :
- Accédez à Extensions → Extensions installées.
- Cliquez sur Désactiver pour WPvivid Backup & Migration.
Suppression de l’ancienne version :
- Supprimez le répertoire wp-content/plugins/wpvivid-backup-migration via FTP ou SSH.
Installation de la version sécurisée :
- Téléchargez wpvivid-backup-migration-0.9.124.zip depuis le dépôt officiel.
- Installez-la via Extensions → Ajouter.
Réactivation et test :
- Réactivez le plugin.
- Effectuez une sauvegarde test et vérifiez que l’option receive backup reste désactivée.
Audit de sécurité :
- Lancez un scan avec un outil certifié (ex. Qualys ou OpenVAS).
- Confirmez l’absence de fichiers PHP inattendus dans le répertoire uploads.

« Une mise à jour régulière reste la première ligne de défense contre les vulnérabilités zero-day », rappelle le Centre de cybersécurité de l’État.

Conclusion - Protégez votre site dès aujourd’hui

La vulnérabilité CVE-2026-1357 du plugin WPvivid Backup & Migration constitue une menace sérieuse pour les sites WordPress français, surtout ceux qui utilisent la fonction de réception de sauvegarde. En appliquant immédiatement la version 0.9.124, en désactivant les options non essentielles et en renforçant les contrôles de fichiers, vous réduisez de façon drastique le risque d’une compromission totale.

Prochaine action : vérifiez dès maintenant la version installée sur vos sites, planifiez la mise à jour et intégrez les bonnes pratiques décrites dans ce guide à votre processus de gestion des plugins. La cybersécurité n’est jamais un état statique ; elle exige vigilance, réactivité et conformité aux standards tels que ANSSI, ISO 27001 et RGPD.