UpdraftPlus WordPress CVE-2026-10795 que vérifier

Publié le - 24 juin 2026

coco sécurité, WordPress
tableau de bord WordPress avec sauvegardes UpdraftPlus et contrôle de sécurité
Rate this post
UpdraftPlus CVE-2026-10795 que vérifier avant de toucher au site
  • UpdraftPlus est concerné par CVE-2026-10795, une faille d’authentification liée aux communications UpdraftCentral.
  • La version gratuite est à corriger si elle est en 1.26.4 ou plus ancienne.
  • La version premium doit passer en 2.26.5 ou plus récent.
  • Le risque vise surtout les sites déjà connectés à UpdraftCentral, même si la connexion remonte à plusieurs mois.
  • Un attaquant sans compte peut forger des commandes RPC et agir avec les droits de l’administrateur connecté à UpdraftCentral.
  • La mise à jour ne suffit pas si un plugin pirate ou un compte admin a déjà été ajouté.
Si tu utilises UpdraftPlus, commence par regarder la version installée puis l’historique UpdraftCentral. Un site relié une fois à un tableau de bord distant mérite un contrôle, même si tu ne t’en sers plus aujourd’hui.

UpdraftPlus fait partie des extensions WordPress que beaucoup de sites gardent installées pendant des années. Elle sert à sauvegarder, restaurer, migrer et parfois piloter plusieurs installations depuis UpdraftCentral. Avec CVE-2026-10795, ce rôle devient sensible, car la faille ne touche pas une option décorative. Elle concerne la couche de communication distante.

Le sujet mérite une vérification rapide, mais pas une panique désordonnée. Tous les sites avec UpdraftPlus ne sont pas exposés de la même façon. Le scénario annoncé vise surtout les installations qui ont déjà été connectées à UpdraftCentral. C’est le point à vérifier. Tu peux avoir oublié cette connexion alors que le site garde encore un réglage distant actif.

Le correctif existe déjà. La vraie question devient donc simple. Est-ce que ton site est sorti de la plage vulnérable, est-ce que les clés distantes sont propres, et est-ce qu’aucun accès non autorisé n’a été ajouté pendant la période d’exposition.

Ce que permet vraiment CVE-2026-10795

La faille est classée dans les contournements d’authentification. En pratique, un attaquant peut envoyer une requête forgée au mécanisme de communication distant d’UpdraftPlus. Le point technique se situe dans la fonction wp_loaded du module UpdraftPlus_Remote_Communications_V2, avec une validation insuffisante du message reçu.

La partie la plus gênante vient de la signature cryptographique. Quand le format du message est manipulé, la vérification peut être contournée et certaines erreurs de déchiffrement finissent par produire une clé prévisible remplie de zéros. Dit plus clairement, une requête qui ne devrait pas être acceptée peut être traitée avec les droits de l’administrateur relié à UpdraftCentral.

Ce n’est pas un bug qui affiche une mauvaise alerte dans l’admin. Le risque peut aller jusqu’à l’envoi de commandes RPC. Selon le contexte du site, ces commandes peuvent servir à téléverser une extension malveillante, à l’activer, puis à obtenir une exécution de code PHP. Si ça arrive, le site n’est plus seulement à mettre à jour. Il faut vérifier ce qui a changé.

Le détail qui réduit ou augmente le risque

La faille demande un passé UpdraftCentral. Un site qui utilise UpdraftPlus uniquement pour sauvegarder vers un stockage distant n’a pas forcément le même niveau d’exposition qu’un site relié à un tableau de bord UpdraftCentral. Cette nuance change tout dans la priorisation.

Si tu gères un seul site et que tu n’as jamais configuré UpdraftCentral, la mise à jour reste à faire, mais le niveau d’urgence opérationnelle est différent. Si tu as une agence, un parc client, un vieux dashboard central ou un accès distant laissé par un ancien prestataire, tu vérifies sans attendre.

Point à contrôler Ce que ça veut dire Action à faire
Plugin gratuit UpdraftPlus 1.26.4 ou plus ancien Installer 1.26.5 ou plus récent
Version premium UpdraftPlus Premium avant 2.26.5 Installer 2.26.5 ou plus récent
UpdraftCentral Site relié à un tableau de bord distant Révoquer les clés inutiles puis reconnecter si besoin
Comptes admin Création ou changement de rôle suspect Supprimer les accès inconnus et forcer les mots de passe
Extensions récentes Ajout non prévu dans wp-content/plugins Désactiver, isoler et examiner les fichiers

Qui doit vérifier sans attendre

Tu dois regarder ce sujet en priorité si ton site utilise UpdraftPlus, si tu vends via WooCommerce, si tu gères plusieurs WordPress depuis un même tableau de bord, ou si un prestataire a déjà connecté ton site à UpdraftCentral. Les sites d’agence sont particulièrement concernés, car l’outil sert justement à centraliser des actions sur plusieurs installations.

Le nombre d’installations actives rend aussi l’alerte très visible. UpdraftPlus dépasse les trois millions d’installations actives côté WordPress.org. Une faille dans un plugin aussi répandu attire vite les scans automatisés. Dès qu’un correctif est public, les robots savent exactement quoi chercher, surtout si un modèle de détection circule dans les outils de sécurité.

Tu peux aussi croiser cette alerte avec les autres attaques récentes sur l’écosystème WordPress. L’article sur l’attaque CDN OptinMonster TrustPulse PushEngage montre bien pourquoi il faut regarder au-delà du simple bouton de mise à jour. Ici aussi, l’enjeu se joue dans les accès, les fichiers et les traces laissées sur le serveur.

Si tu as un doute sur UpdraftCentral, traite le site comme s’il avait déjà été relié. Mets à jour, coupe les clés distantes inutiles, puis regarde les comptes admin et les extensions ajoutées depuis début juin 2026.

Mettre à jour ne règle pas toute l’histoire

Installer la version corrigée ferme la faille connue. C’est la première étape. Elle ne dit pas si le site a déjà reçu une commande malveillante avant la correction. Le bon ordre consiste donc à corriger, puis à contrôler. Tu évites ainsi de laisser tourner un plugin pirate déjà activé ou un compte administrateur discret.

Dans WordPress, ouvre la page des extensions et vérifie le numéro exact. Pour la version gratuite, la limite à éviter est 1.26.4 ou plus ancien. Pour la premium, vise 2.26.5 ou plus récent. Si le site refuse la mise à jour, commence par sauvegarder hors du serveur, puis regarde les erreurs PHP, les droits fichiers et les conflits éventuels.

Ensuite, passe dans les comptes utilisateurs. Cherche les administrateurs créés récemment, les emails inconnus, les rôles modifiés, les comptes d’agence jamais supprimés et les utilisateurs qui n’ont plus de raison d’exister. Lorsqu’une faille permet d’agir avec des droits élevés, la liste des comptes devient un indice concret.

Les clés UpdraftCentral à nettoyer

Si UpdraftCentral a servi dans le passé, ouvre ses réglages et coupe ce qui n’est plus nécessaire. Une ancienne connexion distante peut rester dans les options alors que personne ne s’en souvient. Tu peux ensuite reconnecter proprement le site avec des clés neuves, depuis un compte que tu maîtrises.

Ce nettoyage est utile même après le patch. Il réduit les accès dormants et clarifie ton environnement. Moins il y a de connexions distantes, moins tu as d’éléments à contrôler lors de la prochaine alerte.

infographie des contrôles UpdraftPlus après CVE-2026-10795

Les traces concrètes à chercher

Le scénario le plus inquiétant passe par l’ajout et l’activation d’une extension malveillante. Tu regardes donc d’abord le dossier wp-content/plugins. Les noms trop génériques, les dossiers créés récemment, les plugins absents de l’admin mais présents sur le serveur et les fichiers PHP isolés doivent attirer ton attention.

Regarde aussi wp-content/mu-plugins, le thème actif, le thème enfant, les fichiers déposés dans uploads et les tâches planifiées. Une compromission ne reste pas toujours au même endroit. Un plugin pirate peut poser un fichier ailleurs, créer un compte, modifier une option, puis disparaître de l’écran principal.

Les logs serveur peuvent t’aider à dater la fenêtre. Cherche des requêtes vers les points utilisés par UpdraftPlus, des appels inhabituels autour de l’admin, des activations d’extensions, des erreurs PHP soudaines et des accès depuis des adresses IP qui ne correspondent pas à tes usages. Tu n’as pas besoin de long rapport technique. Tu veux savoir si quelque chose a bougé sans toi.

Zone Indice suspect Réaction propre
Utilisateurs Administrateur récent ou email inconnu Bloquer le compte et changer les accès
Extensions Dossier ajouté sans installation prévue Isoler le dossier avant suppression
Options Ancien lien UpdraftCentral encore présent Révoquer puis recréer une connexion propre
Fichiers PHP récent dans uploads ou mu-plugins Scanner, comparer et nettoyer
Sauvegardes Archives manquantes ou datées bizarrement Créer une sauvegarde saine hors serveur

Ce que je ferais sur un site client

Je commencerais par sortir une copie saine de ce qui existe. Même si le site semble propre, une sauvegarde hors serveur te donne un point d’appui avant de toucher aux fichiers. Ensuite, mise à jour d’UpdraftPlus, révocation des liens UpdraftCentral inutiles, rotation des mots de passe admin, puis contrôle des extensions et des utilisateurs.

Je vérifierais aussi les sauvegardes UpdraftPlus elles-mêmes. Elles sont utiles, mais elles peuvent devenir trompeuses si elles ont été produites après une intrusion. Garde au moins une archive plus ancienne, une archive fraîche après nettoyage et une note claire sur la date de correction.

Si tu retrouves un compte inconnu, un plugin ajouté ou un fichier PHP douteux, ne te limite pas à supprimer l’élément visible. Dans ce cas, reprends les étapes de nettoyage WordPress après piratage. Le but est de couper l’accès initial, puis les accès de secours que l’attaquant a pu poser.

Après correction, note la version installée, la date de révocation UpdraftCentral et le résultat du contrôle des comptes. Ce petit suivi t’évitera de refaire toute l’enquête au prochain doute.

Le point sensible des sauvegardes

Une faille sur un plugin de sauvegarde demande davantage d’attention qu’une faille sur un outil secondaire. Les sauvegardes contiennent souvent la base de données, les fichiers, parfois des chemins serveur, et elles donnent une vue très complète du site. Même si CVE-2026-10795 parle surtout de commandes RPC, le contexte UpdraftPlus justifie un vrai tour des archives.

Vérifie où partent tes sauvegardes. Google Drive, Dropbox, S3, FTP, serveur distant ou stockage local. Si un accès distant a été compromis, change aussi les jetons et mots de passe liés au stockage. Un site corrigé avec un compte cloud encore exposé reste fragile.

Regarde aussi si les sauvegardes sont toujours planifiées au bon rythme. Une intrusion peut désactiver un planning, supprimer des archives ou saturer l’espace disque. Ce n’est pas le signe le plus bruyant, mais c’est souvent là que tu gagnes du temps quand tu dois restaurer proprement.

FAQ UpdraftPlus WordPress

Ce qu’il faut garder en tête

UpdraftPlus CVE-2026-10795 n’est pas une alerte à traiter mécaniquement. Tu corriges la version, oui. Puis tu regardes si ton site a déjà parlé avec UpdraftCentral, si des clés distantes traînent encore, si des comptes admin sont apparus, et si des fichiers ont bougé.

La bonne réaction tient en quelques gestes. Mise à jour vers une version corrigée, nettoyage des accès distants, vérification des comptes, lecture rapide des logs, contrôle des extensions et sauvegarde saine hors serveur. Rien d’exotique, mais tout doit être fait dans le bon ordre.

Si ton site n’a jamais utilisé UpdraftCentral, tu gardes la tête froide et tu patches quand même. Si UpdraftCentral a servi, tu ajoutes le contrôle des clés et des traces. C’est cette nuance qui évite de perdre une journée sur un faux problème ou, pire, de laisser passer un vrai accès pirate.