Vulnérabilité SEO Wordpress : Plus de 3 Millions de Sites Touchés !
par Manuel Cebrian·
Une vulnérabilité de sécurité a été mise en lumière dans le plugin All in One SEO (AIOSEO) pour WordPress, un outil très populaire, avec plus de 3 millions d'installations. Cette faille aurait permis à des utilisateurs avec des privilèges limités d'accéder au jeton d'accès global à l'IA du site, leur offrant ainsi la possibilité d'exploiter des fonctionnalités d'intelligence artificielle du plugin, comme la génération de contenu, tout en consommant les crédits associés.
Plugin WordPress All in One SEO (AIOSEO)
All in One SEO est l'un des plugins de SEO les plus utilisés sur WordPress, installé sur plus de 3 millions de sites. Il assiste les propriétaires de sites dans la gestion de leurs tâches de référencement, telles que la génération de métadonnées, la création de sitemaps XML, l'ajout de données structurées et la fourniture d'outils alimentés par l'IA pour aider à la rédaction de titres, de descriptions, d'articles de blog, de FAQ, de publications sur les réseaux sociaux et même à la génération d'images.
Ces fonctionnalités d'IA reposent sur un jeton d'accès global qui permet au plugin de communiquer avec des services externes d'IA proposés par AIOSEO.
Problème de Vérification des Autorisations
Selon Wordfence, la vulnérabilité serait due à l'absence de vérification des autorisations sur un certain endpoint de l'API REST utilisé par le plugin. Cela a permis à des utilisateurs avec un accès de niveau contributeur de voir le jeton d'accès global à l'IA.
Dans le contexte d'un site WordPress, une API (Application Programming Interface) sert de pont entre le site et différentes applications logicielles, y compris des applications externes comme le générateur de contenu IA d'AIOSEO, afin de communiquer et d'échanger des données de manière sécurisée. Un endpoint REST est une URL qui expose une interface à des fonctionnalités ou des données.
La faille se trouvait dans l'endpoint REST suivant :
/aioseo/v1/ai/credits
Cet endpoint est censé renvoyer des informations sur l'utilisation de l'IA et les crédits restants d'un site. Cependant, il n'a pas vérifié si l'utilisateur effectuant la demande avait réellement le droit d'accéder à ces données. Le plugin AIOSEO n'a pas effectué la vérification des autorisations pour s'assurer que quelqu'un connecté avec un accès de niveau contributeur pouvait accéder à ces données.
En conséquence, tout utilisateur connecté avec un accès de niveau contributeur ou supérieur pouvait interroger cet endpoint et récupérer le jeton d'accès global à l'IA du site.
Wordfence décrit la faille ainsi :
“Cela permet aux attaquants authentifiés, avec un accès de niveau contributeur et plus, de divulguer le jeton d'accès global à l'IA.”
Le problème réside dans le fait que l'implémentation de l'endpoint de l'API REST n'effectuait pas de vérification des permissions, permettant ainsi à un contributeur de voir des données sensibles.
Dans WordPress, les routes de l'API REST sont censées inclure des vérifications de capacités qui garantissent que seuls les utilisateurs autorisés peuvent y accéder. Dans ce cas, cette vérification était manquante, de sorte que le plugin traitait les contributeurs de la même manière que les administrateurs lors du retour du jeton IA.
Pourquoi la Vulnérabilité est Problématique
Dans WordPress, le rôle de contributeur représente l'un des niveaux de privilège les plus bas. De nombreux sites accordent un accès de niveau contributeur à plusieurs personnes pour soumettre des brouillons d'articles à examiner et à publier.
Devis SEO
Un expert disponible maintenant · Réponse sous 24h · Sans engagement
En exposant le jeton IA global à ces utilisateurs, le plugin a potentiellement distribué un identifiant qui contrôle l'accès à ses fonctionnalités d'IA. Ce jeton pourrait être utilisé pour :
1. Utilisation non autorisée de l'IA
Le jeton fonctionne comme un identifiant de site permettant d'authentifier les demandes d'IA. Un attaquant qui l'obtient pourrait potentiellement l'utiliser pour générer du contenu IA via le compte du site concerné, consommant ainsi les crédits ou les limites d'utilisation qui lui sont associés.
2. Épuisement des Services
Un attaquant pourrait automatiser des demandes par le biais du jeton exposé, épuisant ainsi le quota d'IA disponible du site. Cela empêcherait les administrateurs du site d'utiliser les fonctionnalités d'IA sur lesquelles ils comptent, créant de fait un déni de service pour les outils IA du plugin.
Bien que la vulnérabilité ne permette pas l'exécution de code direct, la fuite d'un jeton API à l'échelle du site représente un risque potentiel en matière de facturation.
Une Partie d'un Schéma de Vulnérabilités Plus Large
Pour la première fois, All In One SEO n'est pas épargné par des vulnérabilités liées à une autorisation manquante ou à un accès à faible privilège. Selon Wordfence, le plugin a révélé six vulnérabilités dès 2025, dont beaucoup ont permis à des utilisateurs de niveau contributeur ou abonné d'accéder ou de modifier des données auxquelles ils n'auraient pas dû avoir accès.
Ces problèmes incluaient des injections SQL, des divulgations d'informations, des suppressions arbitraires de médias, des vérifications d'autorisation manquantes, et l'exposition de données sensibles. Le fil conducteur à travers ces rapports est une mauvaise application des permissions pour les utilisateurs à faible privilège, la même classe de défauts qui a conduit à l'exposition du jeton IA dans ce cas.
Six vulnérabilités en un an est un chiffre élevé pour un plugin de SEO. Le plugin Yoast SEO a enregistré zéro vulnérabilité en 2025, RankMath en a eu quatre et Squirrly SEO seulement trois.
Comment la Vulnérabilité a Été Corrigée
La vulnérabilité affecte toutes les versions d'All in One SEO jusqu'à et y compris la version 4.9.2. Elle a été corrigée dans la version 4.9.3, qui a inclus une mise à jour de sécurité décrite dans le changelog officiel du plugin par les développeurs comme :
“Renforcement des routes API pour prévenir l'exposition du jeton d'accès IA.”
Ce changement correspond directement à la faille de l'API REST identifiée par Wordfence.
Que doivent faire les Propriétaires de Sites
Quiconque utilise All in One SEO devrait mettre à jour vers la version 4.9.3 ou plus récente dès que possible. Les sites qui permettent à plusieurs contributeurs externes d'accéder à leurs ressources sont particulièrement vulnérables, car des comptes à faible privilège pourraient accéder au jeton IA sur des versions vulnérables.
Ma Vision
Il est essentiel, à mon sens, que les exploitants de sites WordPress soient constamment vigilants vis-à-vis des plugins qu'ils utilisent. Cette situation souligne l'importance de la gestion des permissions dans l’environnement numérique. Une sensibilisation accrue à la montée des problèmes de sécurité, notamment dans les outils indispensables tels que les plugins de SEO, devrait favoriser une approche proactive de la part des développeurs afin d'assurer la sécurité des données et la fonctionnalité des sites. L’anticipation des vulnérabilités permettra d'instaurer un climat de confiance entre les utilisateurs et les technologies avancées qui, bien qu'essentielles, comportent des risques non négligeables.
Devis SEO
Un expert disponible maintenant · Réponse sous 24h · Sans engagement