Une faille critique affecte WordPress
Une faille de sécurité a été détectée dans All in One SEO (AIOSEO), un outil d’optimisation utilisé par plus de trois millions de sites WordPress à travers le monde, dont une grande majorité de médias et portails étatiques au Maroc. Cette faille permet aux utilisateurs disposant de droits d’accès limités d’accéder frauduleusement aux fonctions d’intelligence artificielle du site, entraînant des risques d’exploitation non autorisée et de perte de crédits à la consommation d’IA.
Ce plugin, indispensable au référencement naturel, propose des outils automatisés de rédaction d’articles, de titres et de métadonnées. La faille identifiée réside dans un manque de contrôle des autorisations au sein du système. Concrètement, un simple contributeur – le niveau de privilège le plus bas généralement accordé aux rédacteurs pour soumettre des brouillons – peut désormais consulter le jeton de sécurité global régissant l’intelligence artificielle. En obtenant cette clé numérique, un utilisateur malveillant peut générer du contenu de manière clandestine ou épuiser les quotas d’utilisation facturés au propriétaire du site.
Lire : Un hacker traqué depuis le Maroc pour un vol de 210 millions d’euros
Pour les administrateurs de sites marocains, le danger est avant tout opérationnel et financier. De nombreuses plateformes de presse et sites institutionnels utilisent ces fonctionnalités pour accompagner leur production éditoriale. L’exposition de ce jeton permet à un attaquant d’automatiser les requêtes, créant ainsi un déni de service pour les outils dont dépendent les administrateurs. Bien que cette vulnérabilité ne permette pas l’exécution directe de code malveillant, elle constitue une fuite de données sensibles pouvant impacter la gestion budgétaire des services numériques.
Lire : Des hackers marocains attaquent l’Algérie
Ce n’est pas la première fois que l’outil AIOSEO fait l’objet de critiques concernant sa sécurité. Au cours de l’année 2025, le plugin a déjà enregistré six vulnérabilités majeures liées à une gestion défectueuse des autorisations pour les utilisateurs peu privilégiés. Ce niveau d’insécurité est considéré comme élevé par rapport à ses concurrents directs : Yoast SEO n’a signalé aucune violation sur la même période, tandis que RankMath et Squirrly SEO en ont enregistré respectivement quatre et trois.