100 000 sites WordPress sont exposés à une faille critique dans le plugin Gravity SMTP. Cette vulnérabilité permet aux attaquants d’exfiltrer les identifiants e-mail des utilisateurs. Seulement 30 % des sites concernés ont appliqué le correctif publié le 20 juin 2026. Les risques ? Phishing ciblé et attaques par force brute sur d’autres plateformes. Voici comment sécuriser votre site dès maintenant.
Qui est concerné et pourquoi ?
Le plugin Gravity SMTP est utilisé par plus de 100 000 sites WordPress pour gérer l’envoi d’e-mails transactionnels. Confirmations de commande, réinitialisations de mot de passe ou newsletters : il connecte les sites à des fournisseurs comme Amazon SES ou Mailjet.
La faille, de type *Insecure Direct Object Reference* (IDOR), touche la version 2.5.1 du plugin. Elle permet à des attaquants d’accéder aux identifiants e-mail stockés via des requêtes malveillantes. Un risque majeur pour les entreprises et freelances utilisant WordPress.
Détails techniques et chiffres clés
Voici les éléments clés de cette vulnérabilité et ses conséquences :
- 100 000 sites WordPress vulnérables via Gravity SMTP (version 2.5.1).
- Faille IDOR exploitable pour exfiltrer les identifiants e-mail des utilisateurs.
- Correctif disponible depuis le 20 juin 2026, mais seulement 30 % des sites mis à jour.
- Risque accru de phishing ciblé et d’attaques par force brute sur d’autres plateformes.
- Les e-mails compromis peuvent servir à des campagnes malveillantes automatisées.
Les experts en cybersécurité recommandent une action immédiate pour limiter les dégâts.
Impact et comparaison des risques
Comparaison des risques selon le niveau de mise à jour du plugin :
| Statut du site | Risque d’exfiltration | Conséquences potentielles |
|---|---|---|
| Non mis à jour | Élevé | Phishing, attaques par force brute, perte de confiance |
| Mis à jour partiellement | Moyen | Risque réduit mais persistant si mots de passe non changés |
| Mis à jour + mots de passe changés | Faible | Protection optimale, risque résiduel minimal |
Analyse et perspectives
Pourquoi cette faille est-elle critique ?
Les identifiants e-mail sont une cible privilégiée pour les cybercriminels. Une fois compromis, ils permettent des attaques en cascade : phishing ciblé, usurpation d’identité ou accès à d’autres comptes liés.
Comment les bots malveillants exploitent-ils cette faille ?
Les attaquants utilisent des scripts automatisés pour scanner les sites vulnérables. Une fois identifiés, ils exploitent la faille IDOR pour extraire les données en quelques secondes. Une menace invisible mais redoutable.
Ce qu’il faut retenir
- 100 000 sites WordPress sont exposés via Gravity SMTP (version 2.5.1).
- La faille permet l’exfiltration des identifiants e-mail, avec un risque de phishing accru.
- Seulement 30 % des sites ont appliqué le correctif à ce jour : agissez maintenant.
- Mettez à jour le plugin et changez les mots de passe des utilisateurs exposés.
- Surveillez les activités suspectes sur vos comptes e-mail et plateformes liées.
❓ Questions fréquentes
Qu’est-ce qu’une faille IDOR ?
Une faille *Insecure Direct Object Reference* permet à un attaquant d’accéder à des données sensibles en manipulant des identifiants dans une requête. Ici, elle cible les identifiants e-mail stockés par Gravity SMTP.
Comment savoir si mon site est vulnérable ?
Vérifiez la version de votre plugin Gravity SMTP. Si vous utilisez la version 2.5.1 ou antérieure, votre site est exposé. Mettez à jour immédiatement vers la dernière version.
Que faire si mon site a été compromis ?
Appliquez le correctif, changez tous les mots de passe e-mail concernés et surveillez les activités suspectes. Informez vos utilisateurs pour qu’ils prennent des mesures similaires.
En résumé
Cette faille dans Gravity SMTP rappelle l’importance de la cybersécurité pour les sites WordPress. Avec seulement 30 % des sites mis à jour, le risque persiste pour des milliers d’entreprises. Agissez sans délai : mettez à jour le plugin, changez les mots de passe et surveillez vos comptes. La sécurité de vos données en dépend.
📚 À lire aussi
- Cyber Essentials 2026 : l’IA force les entreprises à patcher en 48h
- 2026 : Mythos d’Anthropic, le réveil cyber des entreprises face à l’IA
- Faille critique : Apple corrige un micro espion dans les Beats Studio 2026
- 2026 : Les sites doivent cibler humains ET agents IA pour survivre
📷 Image : Shoper .pl via Pexels
Anis Flazi est le fondateur et rédacteur en chef d'IA Codex. Diplômé de la Sorbonne en systèmes d'information et de connaissances, il évolue depuis plus de 10 ans dans le marketing digital (publicité Meta, Google et TikTok, en agence, chez l'annonceur et en freelance). Cette double culture, technique et terrain, l'a conduit à adopter l'intelligence artificielle dès ses débuts : d'abord appliquée à ses campagnes, puis étendue à l'ensemble de ses projets. Il teste aujourd'hui les outils et modèles d'IA au quotidien pour décrypter, sans hype ni jargon, ce qui change vraiment pour les professionnels francophones.
Tous les articles de Anis →Articles liés
- 1M de sites WordPress piratés via une faille IA en 2026
- 2026 : WordPress piraté via une faille critique dans Everest Forms Pro
- 2026 : 20 000 comptes Instagram piratés via une faille IA Meta
- Faille Drupal critique : 15 000 attaques sur des sites publics français (2026)
- ChatGPT recommande des sites d’arnaques, faille IA 2026