Attention ! Une faille critique affectant le plugin Funnel Builder pour WordPress est actuellement exploitée par des cybercriminels. Découvert et documenté par Sansec cette semaine (16 mai 2026), ce bug permet l'injection de code malveillant directement dans vos pages de paiement WooCommerce, avec un objectif simple mais dévastateur : voler les numéros de carte bancaire de vos clients. Si vous gérez une boutique en ligne en Drôme ou Ardèche avec ce plugin activé, vous êtes potentiellement en danger. Cet article vous explique précisément ce qui se passe, qui est visé, et surtout, comment vous protéger immédiatement.
Je suis Hugo, technicien informatique indépendant basé à Valence. Au cours de mes interventions auprès de TPE et PME de Drôme et Ardèche, j'ai déjà rencontré plusieurs cas de sites utilisant des plugins vulnérables sans le savoir. C'est pour cette raison que je vous livre ici un guide complet et concret pour sécuriser votre site WordPress et vos clients.
Pour la première fois depuis janvier 2026, une vulnérabilité zero-day affectant le plugin Funnel Builder (extension WordPress très populaire pour créer des tunnels de vente et des landing pages) a été découverte en cours d'exploitation dans la nature. Cela signifie que les pirates ne l'ont pas signalée discrètement aux développeurs : ils l'utilisent activement pour attaquer des milliers de sites.
Les informations ont été publiées par Sansec, un cabinet de cybersécurité spécialisé dans la détection des malveillances e-commerce. À l'heure actuelle, cette faille n'a pas encore reçu de numéro CVE officiel (Common Vulnerabilities and Exposures), ce qui rend sa traçabilité plus difficile mais ne change rien à la gravité du problème.
Cette faille permet aux pirates d'injecter du code JavaScript malveillant directement dans vos pages de paiement. Ce code capture en temps réel les informations sensibles saisies par vos clients (numéro de carte, date d'expiration, CVC), avant même qu'elles soient chiffrées et envoyées à votre processeur de paiement.
Contrairement à d'autres vulnérabilités qui demandent une authentification ou des droits spécifiques, celle-ci peut être exploitée sans interactions complexes. Les criminels ont simplement besoin d'identifier les sites utilisant Funnel Builder pour lancer leur attaque.
Selon les données de WPScan et Builtwith, environ 2 500 sites en France utilisent activement le plugin Funnel Builder. En Drôme et Ardèche, le nombre est bien sûr moins important, mais loin d'être négligeable. Parmi ces utilisateurs, vous trouvez :
Si votre site répond à l'une de ces descriptions, vous avez probablement une raison de vérifier rapidement. Contrairement aux failles WordPress "génériques", celle-ci cible très spécifiquement les utilisateurs de Funnel Builder, ce qui signifie que votre site pourrait être sur une liste de cibles.
Vous n'êtes pas obligatoirement victime si vous avez ce plugin installé. Vous êtes en danger si le plugin est activé ET si vous n'avez pas appliqué de mises à jour de sécurité depuis le 15 mai 2026. Vous êtes très probablement touché si vous avez reçu des signalements de fraude à la carte bancaire ces derniers jours.
Comprendre le mécanisme vous aidera à prendre les bonnes mesures. Voici comment les pirates opèrent :
Les attaquants utilisent des scanners automatisés (comme Shodan ou des outils propriétaires) pour identifier les sites WordPress utilisant Funnel Builder. C'est relativement facile car le plugin laisse des traces dans le code source ou les URLs publiques.
Une fois un site identifié, les pirates envoient une requête HTTP spécialement construite qui exploite un défaut du plugin. Ce défaut peut être une validation insuffisante des entrées, une faille d'exécution de code à distance (RCE), ou une faille d'inclusion de fichiers (LFI/RFI).
Le code injecté est du JavaScript qui s'exécute côté client (dans le navigateur du visiteur). Ce script peut :
Les numéros de carte capturés sont transmis sur le dark web et revendus à des réseaux de fraude. Ces données servent ensuite à effectuer des achats en ligne, des retraits, ou d'autres formes de fraude.
Imaginons le site de Marie, une artisane créatrice de bijoux qui vend ses œuvres en ligne. Son agence web à Valence a intégré Funnel Builder pour les pages de commande. Entre le 10 et le 16 mai, 47 commandes ont été passées. Le 20 mai, trois de ses clientes signalent des débits frauduleux sur leurs cartes. L'investigation montre que seules les pages passant par Funnel Builder sont concernées. C'est l'injection malveillante en action.
Les conséquences pour vous et vos clients peuvent être graves et multifacettes :
Même si vous agissez rapidement, les forums de sécurité informatique et les sites spécialisés (comme Cybermalveillance.gouv.fr) peuvent publier la liste des sites touchés. Votre réputation en sera affectée pendant des mois.
Vous avez maximum 24 à 48 heures pour agir. Voici ma check-list d'urgence, classée par ordre de priorité :
Si vous ne savez pas accéder à votre WordPress, contactez votre prestataire web ou un technicien informatique en Drôme comme moi pour cette étape urgente.
Désactiver ne suffit pas. Le code malveillant peut persister dans votre base de données ou vos fichiers. Vous devez :
Si Wordfence détecte du code malveillant, ne tentez pas de le supprimer vous-même si vous n'êtes pas sûr de ce que vous faites. Une mauvaise suppression peut planter votre site. Contactez un professionnel (je peux vous aider depuis Valence en téléassistance).
Si votre site a été compromis, les criminels pourraient avoir accès à vos identifiants WordPress :
La transparence est essentielle. Envoyez un email à vos clients depuis votre adresse officielle (exemple : noreply@votredomaine.fr) :
"Chers clients,
Nous avons découvert une vulnérabilité affectant une extension de notre site de paiement. Nous avons immédiatement désactivé cette extension et nettoyé nos systèmes. Si vous avez commandé entre le [DATE 1] et le [DATE 2], nous vous recommandons de surveiller votre compte bancaire pour détecter toute activité suspecte. Si vous constatez des débits non autorisés, contactez votre banque immédiatement. Nous avons également mis en place des mesures de sécurité supplémentaires. Merci de votre confiance."
Cette communication vous protège légalement et montre votre sérieux auprès de votre clientèle.
Selon vos obligations légales (notamment si vous avez des clients en Europe), vous devez :
Maintenant que vous avez bouché la faille immédiate, passons à la prévention long terme. C'est là que réside la véritable sécurité.
Une fois que vous avez confirmé le nettoyage, supprimez définitivement le plugin Funnel Builder. Les alternatives sécurisées et régulièrement mises à jour incluent :
La plupart des failles apparaissent parce que les sites ne sont pas à jour. Je recommande :
Voici les basiques indispensables, applicables à Drôme et Ardèche comme partout :
Ne vous contentez pas d'un audit unique :
La technologie n'est qu'une partie de la solution. Vous et votre équipe (si vous en avez) devez comprendre les risques :
Si vous êtes une TPE ou PME en Drôme-Ardèche, envisagez une infogérance de sécurité : c'est une personne (comme moi) qui s'occupe de vos mises à jour, scans et monitoring en continu. Cela coûte entre 50 et 150 euros/mois, ce qui est négligeable comparé au coût d'une intrusion.
Les sites WooCommerce utilisant le plugin Funnel Builder sont les plus exposés. Cette faille affecte particulièrement les boutiques en ligne de Valence, Drôme, et Ardèche qui gèrent des paiements par cartes bancaires. Les TPE et PME du secteur du commerce électronique sont en première ligne, car elles ont généralement moins de ressources pour surveiller les mises à jour de sécurité. Les artisans et petits entrepreneurs qui ont confié la gestion de leur site à une agence doivent absolument vérifier auprès de leur prestataire si cette extension est en cours d'utilisation.
Plusieurs signaux d'alerte doivent vous mettre en garde : des réclamations clients concernant des frais ou achats non autorisés, des notifications d'avertissement de fraude de votre banque, ou l'observation d'un code JavaScript inhabituel dans les pages de paiement. Vous pouvez utiliser un outil gratuit comme Wordfence pour scanner votre site WordPress à la recherche de malveillances. Si vous n'êtes pas à l'aise avec ces vérifications, contactez un technicien informatique indépendant de la région comme moi à Valence pour un audit complet.
Désactiver le plugin est un premier pas urgent, mais insuffisant seul. Il faut d'abord supprimer complètement le plugin et nettoyer le code malveillant déjà injecté. Les pirates laissent souvent des portes dérobées persistantes. Une fois le plugin supprimé, vous devez scanner l'intégralité de votre base de données et des fichiers pour éliminer tout code JavaScript injecté. Changez ensuite tous les mots de passe administrateur WordPress, ceux de vos bases de données et des accès FTP. Si vous disposez de sauvegardes antérieures à l'infection, une restauration peut être nécessaire.
Des plugins sérieux et régulièrement mis à jour comme Elementor Pro, Divi Builder, ou les fonctionnalités natives de WooCommerce offrent des alternatives fiables. Ces outils sont activement maintenus et hébergent une communauté large qui signale rapidement les vulnérabilités. Avant d'installer un nouveau plugin, vérifiez toujours sa date de dernière mise à jour, le nombre d'installations actives, et les avis des utilisateurs. Pour vos besoins de conversion et de marketing de Drôme ou Ardèche, je peux vous conseiller une stratégie sécurisée lors d'une consultation.
Si vous n'êtes pas certain de l'état de votre site WordPress, ou si vous souhaitez une protection durable, je propose des audits complets et des services d'infogérance spécialisés. Contactez-moi aujourd'hui pour une consultation gratuite.
Contactez Hugo →