WordPress 4.0.1 est disponible depuis la nuit dernière. C’est une version de sécurité critique pour toutes les versions précédentes et nous vous recommandons vivement de mettre à jour vos sites immédiatement.
WordPress 4.0.1 – Mise à jour immédiate
Tous les sites qui utilisent la configuration par défaut, mises à jour mineures (sécurité) automatiques, seront mis à jour vers WordPress 4.0.1 dans les prochaines heures.
Si vous utilisez encore une des versions suivantes de WordPress 3.9.2, 3.8.4, 3.7.4, vos sites seront mis à jour vers les versions sécurisées respectivement 3.9.3, 3.8.5, et 3.7.5 afin de garder vos sites en sécurité. Aucun support n’est assuré pour ces versions, il est donc fortement conseillé de mettre vos sites à jour dès à présent vers WordPress 4.0.1.
WordPress 4.0.1 corrige 8 failles de sécurité
WordPress 3.9.2 et les versions antérieures sont touchées par une vulnérabilité de type Cross-site Scripting critique, ce qui pourrait permettre à des utilisateurs anonymes de compromettre un site. Ce problème ne concerne pas la version 4.0, toutefois la version 4.0.1 corrige les huit questions de sécurité suivantes:
- Trois failles Cross-Site Scripting, qu’un contributeur ou un auteur pourrait utiliser pour compromettre un site
- Une faille Cross-Site Request Forgery qui pourrait être utilisée pour inciter un utilisateur à changer son mot de passe
- Une faille qui pourrait conduire à un déni de service (DDOS) lorsque les mots de passe sont vérifiés
- Protections supplémentaires contre les attaques côté serveur par Cross-Site Request Forgery lorsque WordPress fait des requêtes HTTP
- Un problème de collision de hashage de mot de passe, extrêmement improbable, pourrait autoriser un compte d’un utilisateur à être compromis, mais cela exige que l’utilisateur ne se soit pas connecté depuis 2008!
- WordPress invalide dorénavant les liens dans les e-mails de réinitialisation de mot passe, si l’utilisateur se souvient de son mot de passe, se connecte, et change son adresse email
WordPress 4.0.1 corrige également 23 bugs par rapport à la version 4.0, et deux consolidations de code, notamment la validation des données EXIF extraite des photos téléchargées
WordPress 4.0.1 et les Shortcodes : Problèmes de compatibilité
Si vous avez mis votre site à niveau vers la version 4.0.1 et que les fonctions qui utilisent des shortcodes ne fonctionnent plus (slider, éditeur visuel, thèmes, etc…), c’est que le code du plugin ne respecte pas l’API WP Shortcode.
La meilleure façon de résoudre ce problème est de mettre vos plugin à jour. De nombreux plugin ont déjà publié des correctifs, d’autres sont en cours.
Bien qu’il soit possible de revenir à WP 4.0, il est fortement déconseillé de le faire en raison de la gravité des correctifs de sécurité. Si vous devez toutefois revenir en arrière, nous vous recommandons de harceler les développeurs de votre plugin ou thème, afin de les forcer à résoudre ce problème de compatibilité, sinon arrêtez d’utiliser leur produit.
Vous pouvez lire tous les détails sur ce problèmes entre WordPress 4.0.1 et les Shortcodes sur le site de trac de WordPress.
L’équipe de WordPress apprécie particulièrement le retour d’informations directement à son équipe de sécurité. Pour plus d’informations, consultez les notes de version ou consultez la liste des modifications.
Téléchargez WordPress 4.0.1 ou rendez vous dans la console d’administration de votre site et cliquez sur Mettre à Jour.
Avez vous déjà testé WordPress 4.1? La bêta 2 est disponible dès à présent (fichier zip), elle contient les correctifs de sécurité qui ont été citées plus haut. Pour plus de détails concernant la version 4.1 de WordPress, je vous invite à lire l’article WordPress 4.1 – La version Beta 1 est disponible.
Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez cet article, Merci!
Publié à l'origine le : 21 novembre 2014 @ 9 h 41 min
