Sécurité : Situation Critique avec 108 Vulnérabilités Découvertes
Le mois de novembre 2025 s’est avéré particulièrement grave pour la sécurité de l’écosystème WordPress. Selon le rapport de vulnérabilités SolidWP du 5 novembre, 108 failles de sécurité ont été découvertes publiquement, dont 77 ont déjà reçu des correctifs, tandis que 31 vulnérabilités restent sans solution.
Les vulnérabilités critiques majeures :
The Events Calendar (800 000+ installations) :
Une injection SQL non authentifiée (CVE-2025-12197, CVSS 9.3) affectant les versions 6.15.1.1 à 6.15.9. Cette faille met à jour vers la version 6.15.10 recommandée immédiatement.
King Addons for Elementor (10 000+ installations) :
Deux vulnérabilités critiques ont été découvertes avec un score CVSS de 10.0 pour l’upload de fichiers non authentifié et 9.8 pour l’escalade de privilèges. Les premières attaques ont été observées le 1er novembre 2025, avec 162 tentatives bloquées en 24 heures selon Wordfence.
Post SMTP (400 000+ installations) :
Une authentification cassée (CVE-2025-11833, CVSS 9.8) permettant l’accès aux journaux d’emails sensibles, incluant les liens de réinitialisation de mot de passe d’administrateur. L’exploitation est activement observée.
WooCommerce (7 000 000+ installations) :
Une vulnérabilité XSS (CVE-2025-49042) corrigée dans la version 10.0.3.
Anti-Malware Security and Brute-Force Firewall :
Une lecture de fichier arbitraire (CVE-2025-11705, CVSS 6.8) exposant potentiellement le fichier wp-config.php avec les identifiants de base de données. Environ 50 000 sites restent non protégés.
D’autres plugins majeurs affectés incluent LiteSpeed Cache, Polylang, Taskbuilder, et RomethemeKit for Elementor, démontrant une augmentation notable des vulnérabilités critiques particulièrement dans les extensions Elementor et WooCommerce.
Développements Majeurs : WordPress 6.9 et Gutenberg 22.0 en Approche
WordPress 6.9 en phase finale de développement
La version 6.9 de WordPress suivra un calendrier strictement planifié :
- Release Candidate 2 : 18 novembre 2025
- Release Candidate 3 : 25 novembre 2025
- Essai technique et gel du code : 1er décembre 2025
- Lancement officiel : 2 décembre 2025
Les fonctionnalités clés attendues incluent l’édition collaborative avec commentaires au niveau des blocs, permettant aux équipes de travailler simultanément sans conflits. Cette fonctionnalité a déjà été testée avec succès auprès des clients WordPress VIP.
De nouveaux blocs arrivent : Accordion, Math Block (permettant l’ajout de formules LaTeX), Time to Read, Term Query avec ses blocs associés (Term Template, Term Name, Term Count). Le bloc Stretchy offre des options de texte étiré pour les blocs paragraphes et titres.
L’API Interactivity et l’API HTML reçoivent des améliorations significatives, tout comme le nouvel API Fields pour les formulaires de données.
Gutenberg 22.0 avec synchronisation en temps réel
Un Release Candidate 1 de Gutenberg 22.0 a été publié le 29 octobre 2025. Cette version introduit la synchronisation en temps réel des métadonnées de publication, améliorant significativement l’expérience d’édition collaborative avec des métadonnées personnalisées.
WooCommerce : Ajustement stratégique du calendrier
WooCommerce a annoncé un changement notable : la version 10.4 a été repoussée du 24 novembre au 9 décembre 2025, délibérément décalée pour éviter une sortie majeure pendant la période critique de Black Friday/Cyber Monday. Cette décision reflète l’écoute de la communauté des développeurs pour assurer une stabilité maximale.
Intelligence Artificielle : Intégration Massive dans l’Écosystème
Telex : L’Outil IA Révolutionnaire de WordPress
Matt Mullenweg, co-fondateur de WordPress et PDG d’Automattic, a présenté Telex lors de WordCamp US 2025 – décrit comme un outil de développement IA « V0 or Lovable, mais spécifiquement pour WordPress ». Telex permet aux utilisateurs de créer des blocs Gutenberg et des animations marketing en utilisant des interfaces basées sur des invites, révolutionnant l’accessibilité du développement WordPress.
Équipe WordPress AI dédiée
Matt Mullenweg a annoncé la formation d’une équipe WordPress AI dédiée, travaillant pour intégrer l’IA directement dans l’infrastructure core de WordPress. Cette initiative dépasse les simples plugins pour offrir une automatisation intelligente et prévisible intégrée au cœur du système.
Angie : Automatisation Intelligente au Niveau du Site
Elementor a présenté Angie, représentant le passage de l’IA générative (créatrice) à l’IA agentive (exécutrice). Angie fonctionne comme un moteur d’automatisation de flux de travail pour l’ensemble du site WordPress, avec une connaissance profonde du contenu, des plugins et des paramètres du site.
Big Sky AI Site Builder
Le constructeur de site IA « Big Sky » lancé sur WordPress.com combine plusieurs modèles et peut créer des logos, des conceptions de sites, de la typographie, des jeux de couleurs et du contenu. Cet outil IA crée des sites entièrement nouveaux ou améliore les sites existants en quelques minutes ce qui prenait des heures aux professionnels.
Jetpack avec Intelligence sur Appareil
Jetpack 26.4 (version octobre) a introduit trois nouvelles fonctionnalités IA utilisant les modèles Apple directement sur l’appareil : la génération automatique d’extraits, les étiquettes suggérées, et le résumé d’article. Ces outils s’exécutent localement, de manière proactive, instantanée et sans frais.
Événements Notables de la Communauté WordPress
WordCamps en novembre-décembre 2025
La communauté WordPress poursuit son agenda intensif :
- WordCamp Valencia : 8 novembre 2025 – WordPress Tech Congress en Espagne
- WordCamp Athens : 8 novembre 2025 – Maroussi, Grèce
- WordCamp Pisa : 21 novembre 2025 – Pise, Italie
- WordCamp Netherlands : 27 novembre 2025 – La Haye, Pays-Bas
Une présentation de Jonathan Bossenger est prévue pour le 29 novembre 2025 de 10h00 à 12h00, couvrant les jalons majeurs et les mises à jour de l’écosystème WordPress tout au long de 2025, incluant un aperçu de la feuille de route future et des innovations.
WordPress Playground et Studio Améliorés
WordPress Playground a reçu une mise à jour significative avec un nouveau Filebrowser permettant de créer, éditer et tester des fichiers directement depuis le navigateur sans zipping ni uploading. WordPress Studio, la plateforme de développement open-source basée sur Playground, inclut désormais des blueprints légers pour démarrer de nouveaux sites.
Améliorations de la Sécurité des Plugins
Plugin Check Plugin avec Rapports Automatiques
L’équipe WordPress Plugin Review a annoncé une mise à jour importante du Plugin Check Plugin (PCP), qui analysera désormais les nouveaux plugins ET les mises à jour de plugins existantes pour la sécurité, la compatibilité et la conformité. Après une phase de test initiale, des rapports automatiques de sécurité seront envoyés par email aux auteurs de plugins immédiatement après les mises à jour.
Cette amélioration est significative : les plugins représentent 96% des vulnérabilités WordPress en 2024, et cette surveillance accrue aura un impact énorme sur la santé de l’écosystème WordPress complet.
Préparation au Black Friday 2025
Avec le Black Friday prévu pour le 28 novembre 2025, les experts recommandent vivement de préparer les sites WordPress en mettant à jour le noyau, WooCommerce, les thèmes et tous les plugins actifs une semaine à l’avance. Les sauvegardes automatiques doivent être augmentées à plusieurs fois par jour, et l’authentification à deux facteurs (2FA) doit être activée pour chaque administrateur.
Points Clés à Retenir
Cette période de novembre 2025 marque un tournant décisif pour WordPress avec une augmentation significative des menaces de sécurité équilibrée par des innovations majeures en IA et en collaboration. Les propriétaires de sites doivent absolument mettre à jour tous leurs plugins d’ici immédiatement, particulièrement Post SMTP, The Events Calendar, King Addons et WooCommerce. Simultanément, l’écosystème WordPress se prépare à une transformation majeure avec l’intégration massive de l’IA, des outils de collaboration en temps réel, et une surveillance améliorée de la sécurité des plugins qui redéfiniront comment les sites sont créés et gérés.