31 juillet 2025 — Une alerte de cybersécurité majeure secoue l’écosystème WordPress : la faille CVE-2025-5394, notée CVSS 9.8, est activement exploitée par des cybercriminels. Elle concerne le thème populaire « Alone – Charity Multipurpose Non-profit », utilisé par des milliers d’organisations à but non lucratif, d’ONG et d’associations dans le monde.
Une vulnérabilité critique dans un thème très répandu
La faille réside dans une fonction AJAX mal sécurisée appelée alone_import_pack_install_plugin(), présente dans les versions jusqu’à 7.8.3. Cette fonction permet à un utilisateur non authentifié d’installer n’importe quel plugin WordPress, ouvrant la porte à une prise de contrôle totale du site.
La version corrigée, 7.8.5, a été publiée le 16 juin 2025, mais de nombreux administrateurs n’ont pas encore appliqué la mise à jour.
Des attaques actives détectées depuis la mi-juillet
Les chercheurs de Wordfence ont confirmé plus de 120 000 tentatives d’exploitation depuis le 12 juillet 2025. Ces attaques proviennent principalement de botnets automatisés qui balayent le web à la recherche de sites vulnérables utilisant ce thème.
Les conséquences incluent :
- l’installation de backdoors ou de plugins malveillants,
- la création de comptes administrateurs frauduleux,
- le détournement de trafic à des fins de phishing ou de spam,
- l’intégration dans des réseaux zombies (botnets).
Sites concernés : associations, ONG et institutions publiques
Le thème « Alone » est très répandu dans le monde associatif et humanitaire, ce qui soulève des préoccupations importantes en matière de sécurité, d’image et de confidentialité. La plupart des sites visés n’ont pas de supervision continue, ce qui en fait des cibles faciles pour des attaquants opportunistes ou organisés.
Comment protéger votre site dès maintenant
Les administrateurs et développeurs WordPress doivent agir immédiatement :
- Mettre à jour le thème « Alone – Charity Multipurpose Non-profit » vers la version 7.8.5 ou supérieure.
- Analyser les logs pour toute requête anormale vers
/wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin. - Changer les mots de passe des comptes administrateurs, même en l’absence de symptômes visibles.
- Supprimer tout compte suspect récemment créé sans raison apparente.
- Installer un pare-feu d’application web (WAF) ou une solution comme Wordfence ou iThemes Security.
Conseils de sécurité préventifs
Cette faille rappelle une vérité simple mais souvent négligée : les thèmes WordPress doivent être traités comme des logiciels à part entière. Voici quelques bonnes pratiques à renforcer :
- Toujours tenir à jour les thèmes, plugins et le noyau WordPress.
- Limiter l’usage de thèmes provenant de marketplaces tierces non auditées.
- Restreindre l’accès aux fonctions AJAX aux utilisateurs authentifiés.
- Activer une surveillance régulière (par un professionnel ou un outil dédié).
Conclusion : une menace silencieuse mais sérieuse
Cette faille critique WordPress montre que même des sites non commerciaux peuvent devenir des points d’entrée pour des cyberattaques à grande échelle. Si votre site ou celui d’un client utilise le thème concerné, il est essentiel d’agir sans délai.
Dans un contexte où les attaques ciblent autant les grandes entreprises que les acteurs caritatifs ou institutionnels, la cybersécurité des CMS comme WordPress doit devenir une priorité stratégique, quel que soit le secteur d’activité.
