Le plugin WPBakery Page Builder est l’un des constructeurs de pages drag-and-drop les plus répandus sur WordPress, souvent intégré dans les thèmes premium. Sa popularité fait que toute faille touche un grand nombre de sites, des blogs aux sites d’entreprise.
Depuis octobre 2025, une faille de sécurité critique affecte WPBakery entre les versions 8.0 et 8.6.1 incluse. Cette vulnérabilité permet à un attaquant disposant d’un compte utilisateur WordPress doté du rôle « contributeur » ou d’un niveau supérieur d’injecter du code JavaScript malveillant via le module “Custom JS” du plugin. Ce code s’exécute automatiquement dès qu’un visiteur consulte la page infectée, pouvant entraîner le vol de données, la redirection vers des sites frauduleux, la chute du référencement Google, et un important préjudice réputationnel pour le site concerné.
Détails techniques de la faille
La faille est liée à une insuffisance de filtrage et d’échappement des données. Le module “Custom JS” permet de contourner les contrôles habituels, ouvrant la porte aux attaques Cross-Site Scripting (XSS). Tous les sites utilisant les versions vulnérables sont exposés si ce module est actif ou accessible aux utilisateurs autorisés.
Exemples d’attaques et conséquences
Un utilisateur malveillant peut injecter un script de redirection vers un site frauduleux ou installer un code permettant de voler cookies, sessions, ou identifiants. Les conséquences les plus graves incluent la prise de contrôle totale du site, l’utilisation du site compromis pour du phishing, des malwares, ou comme relais d’attaques sur d’autres plateformes.
Les solutions et bonnes pratiques
La version 8.7 de WPBakery apporte le correctif qui bloque l’exploitation de cette faille. Il est impératif de mettre à jour immédiatement le plugin vers la version 8.7 ou ultérieure. Avant la mise à jour, il est recommandé de sauvegarder le site, de télécharger la dernière version depuis une source officielle, puis de remplacer l’ancienne version par la nouvelle. Une vérification du bon fonctionnement du site après la mise à jour est aussi conseillée.
Il est aussi recommandé :
- d’utiliser des plugins de sécurité comme Wordfence, Sucuri ou iThemes Security,
- de surveiller les logs et les actions suspectes,
- de limiter au maximum les permissions des utilisateurs,
- de désactiver l’accès au module “Custom JS” aux rôles non essentiels,
- de mettre en place une authentification forte (2FA).
FAQ sur la vulnérabilité WPBakery
- Si votre site utilise WPBakery entre les versions 8.0 et 8.6.1, il est vulnérable.
- La mise à jour vers la version 8.7 corrige totalement le problème.
- Les principaux risques sont l’injection de scripts malveillants, le vol d’identifiants, la redirection vers des sites frauduleux et la perte de crédibilité auprès de vos utilisateurs.
Cette faille rappelle l’importance de maintenir ses plugins WordPress à jour et de filtrer les accès utilisateurs pour éviter tout risque de compromission.
