Les hébergeurs web sont sur le pied de guerre. Une vulnérabilité critique de cPanel, l’interface de gestion utilisée par des millions de sites internet, vient d’être ajoutée au catalogue des failles activement exploitées par la CISA (Cybersecurity and Infrastructure Security Agency). Réفérencée CVE-2026-41940, elle permet à un attaquant de prendre le contrôle d’un compte hébergeur sans authentification. Plus d’un million de sites WordPress, e-commerce et professionnels seraient potentiellement exposés.
Le mécanisme exact de la vulnérabilité
cPanel est l’interface graphique utilisée par la majorité des hébergements mutualisés du marché. Elle gère les domaines, les bases de données, les e-mails, les sauvegardes. Une vulnérabilité dans cPanel, c’est donc un maître-passe potentiel sur des millions d’environnements.
La faille CVE-2026-41940 permet à un attaquant non authentifié d’élever ses privilèges et d’accéder aux fichiers d’autres clients sur le même serveur. Cela inclut les bases de données WordPress, les fichiers de configuration et potentiellement les données utilisateurs. Un effet domino aux conséquences lourdes pour les sites concernés.
Elle a été découverte par des chercheurs en sécurité à la mi-avril 2026, puis confirmée par cPanel quelques jours plus tard. Le correctif officiel a été publié le 28 avril 2026. Mais comme toujours en sécurité, l’application des correctifs prend du temps, ce qui laisse une fenêtre d’exploitation ouverte aux attaquants.
Les hébergeurs touchés en France et à l’étranger
cPanel équipe la majorité des grands hébergeurs mondiaux. Aux États-Unis, Namecheap, HostGator et KnownHost ont temporairement bloqué l’accès à leurs interfaces cPanel le 30 avril pour appliquer le patch en urgence. Le service a été rétabli après quelques heures.
En France, les hébergeurs grand public les plus connus utilisent souvent leur propre interface (hPanel pour Hostinger, le panneau o2switch en propre). Ils ne sont donc pas directement exposés à cette faille spécifique. Mais des hébergeurs spécialisés comme PlanetHoster ou des revendeurs cPanel restent à vérifier.
Si vous utilisez un hébergement mutualisé bas de gamme acheté à l’étranger, il y a de fortes chances que cPanel soit l’interface installée. Vérifiez auprès de votre fournisseur s’il a appliqué le correctif en urgence depuis le 28 avril.
Comment vérifier si votre site est exposé ?
Trois étapes simples permettent de faire le diagnostic. D’abord, ouvrez votre interface d’administration : si vous voyez le logo cPanel dans la barre d’adresse ou en haut de la page, vous êtes dans le périmètre concerné. La version de cPanel doit être au minimum 116.0.20 pour être protégée.
Ensuite, contactez le support de votre hébergeur. Demandez explicitement si le correctif CVE-2026-41940 a été appliqué. Une réponse vague ou évasive doit vous alerter. Un hébergeur sérieux vous donnera la version exacte de cPanel installée et la date de mise à jour.
Enfin, vérifiez les logs d’accès de votre site sur les deux dernières semaines. Si vous repérez des connexions suspectes ou des fichiers modifiés sans raison, supposez le pire et changez tous vos mots de passe. Une suite antivirus comme Bitdefender Total Security peut aussi détecter une éventuelle compromission côté navigateur.
Les bonnes pratiques pour rester protégé
Cette faille est un rappel utile. Pour un site WordPress sérieux, plusieurs réflexes sont incontournables. Activer la double authentification sur l’admin WordPress et sur le compte hébergeur. Mettre à jour en continu le cœur WordPress, les thèmes et les plugins. Faire des sauvegardes externes automatisées au moins une fois par semaine.
Côté hébergement, choisir un acteur sérieux qui applique les correctifs rapidement reste le critère décisif. Notre comparatif des meilleurs hébergeurs en 2026 détaille les politiques de sécurité de chacun et les délais moyens d’application des patches.
Enfin, gardez en tête qu’une faille comme celle-ci peut servir de point d’entrée à un ransomware. Comprendre le fonctionnement d’un ransomware et savoir comment réagir reste la meilleure assurance contre l’imprévisible.
