WordPress l’a annoncé sur son blog il y a quelques jours, une faille de sécurité majeure affecte les anciennes versions de la célèbre plateforme CMS. Alors urgent, faites une mise à jour vers la 4.0.1!
Les failles de sécurités WordPress se suivent et ne se ressemblent pas. Après la brèche ouverte dans le plugin Revolution Slider et WP E-Commerce, c’est au tour du cœur de WordPress de faire l’objet d’une faille de sécurité majeure!
Êtes-vous touché ?
Si votre installation WordPress est antérieur à la 3.7.4., oui ! Il est temps de prendre un peu de temps pour mettre à jour votre site Internet.
Les version 3.9.2, 3.8.4, et 3.7.4 ont été automatiquement mises à jour par WordPress vers une nouvelle version 3.9.3, 3.8.5, ou 3.7.5.
La version 4.0 n’est pas touché mais la version 4.0.1 répond néanmoins à 23 bugs mineurs.
Pour rappel, votre version WordPress apparaît dans votre tableau de bord à l’entrée du back-office.
Comment mettre à jour WordPress ?
Avant de mettre à jour, il est préférable de faire un backup de son site afin d’éviter toute perte de données. Une sauvegarde de la base de données et de l’ensemble du dossier wp-content, vous assurera de garder une copie de votre site et de l’ensemble de son contenu que vous pourrez réinstaller facilement.
Une fois le backup effectué, il suffit d’aller dans le tableau de bord et de cliquer sur « Mise à Jour ». Rendez-vous sur la page « Mise à jour » où la mise à jour en tant que tel est assez rapide et ne devrait à priori pas poser de problème. Vous pourriez même en profitez pour mettre à jour vos plugins et vos thèmes qui sont parfois sujet à des failles de sécurités.
Quels sont les risques ?
D’après WordPress, six failles majeures ont été mises à jour :
– Problèmes de cross-site scripting (abrégé XSS) qu’un contributeur ou un auteur pouvait utiliser pour compromettre un site. Le cross-site scripting étant souvent utilisé pour rediriger vers un autre site pour du hameçonnage ou encore pour récupérer les cookies.
Voir Wikipédia pour le cross-site scripting : http://fr.wikipedia.org/wiki/Cross-site_scripting
– Attaque de type Cross-Site Request Forgery (abrégées CSRF) qui peut tromper l’utilisateur et lui faire changer son mot de passe.
Wikipédia pour le cross-site request forgery : http://fr.wikipedia.org/wiki/Cross-Site_Request_Forgery
– Bug qui peut mener à une attaque par déni de service lorsque l’utilisateur vérifie son mot de passe.
Wikipédia sur l’attaque par déni de service : http://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service
– Plus de protections contre les attaques Request Forgery lorsque WordPress lance une requête HTTPS
– Un bug improbable de « hash collision » pouvait compromettre le compte d’un utilisateur (cela nécéssitait que l’utilisateur ne se soit pas connecté au site depuis 2008…)
– Et enfin l’invalidation des liens que WordPress envoie lors d’une ré-initialisation du mot de passe lorsque l’utilisateur retrouve son login, mot de passe ou change son adresse mail.
Source : https://wordpress.org/news/2014/11/wordpress-4-0-1/
