WordPress

WordPress 4.0.1 – Mise à jour de sécurité

21 novembre 2014

WordPress 4.0.1 – Mise à jour de sécurité

WordPress 4.0.1 est disponible depuis la nuit dernière. C’est une version de sécurité critique pour toutes les versions précédentes et nous vous recommandons vivement de mettre à jour vos sites immédiatement.

WordPress 4.0.1

WordPress 4.0.1 – Mise à jour immédiate

Tous les sites qui utilisent la configuration par défaut, mises à jour mineures (sécurité) automatiques, seront mis à jour vers WordPress 4.0.1 dans les prochaines heures.

Si vous utilisez encore une des versions suivantes de  WordPress 3.9.2, 3.8.4, 3.7.4, vos sites seront mis à jour vers les versions sécurisées respectivement 3.9.3, 3.8.5, et 3.7.5 afin de garder vos sites en sécurité. Aucun support n’est assuré pour ces versions, il est donc fortement conseillé de mettre vos sites à jour dès à présent vers WordPress  4.0.1.

WordPress 4.0.1 corrige 8 failles de sécurité

WordPress 3.9.2 et les versions antérieures sont touchées par une vulnérabilité de type Cross-site Scripting critique, ce qui pourrait permettre à des utilisateurs anonymes de compromettre un site. Ce problème ne concerne pas la version 4.0, toutefois la version 4.0.1 corrige les huit questions de sécurité suivantes:

  • Trois failles Cross-Site Scripting, qu’un contributeur ou un auteur pourrait utiliser pour compromettre un site
  • Une faille Cross-Site Request Forgery qui pourrait être utilisée pour inciter un utilisateur à changer son mot de passe
  • Une faille qui pourrait conduire à un déni de service (DDOS) lorsque les mots de passe sont vérifiés
  • Protections supplémentaires contre les attaques côté serveur par Cross-Site Request Forgery lorsque WordPress fait des requêtes HTTP
  • Un problème de collision de hashage de mot de passe, extrêmement improbable, pourrait autoriser un compte d’un utilisateur à être compromis, mais cela exige que l’utilisateur ne se soit pas connecté depuis 2008!
  • WordPress invalide dorénavant les liens dans les e-mails de réinitialisation de mot passe, si l’utilisateur se souvient de son mot de passe, se connecte, et change son adresse email

WordPress 4.0.1 corrige également 23 bugs par rapport à la version 4.0, et deux consolidations de code, notamment la validation des données EXIF extraite des photos téléchargées

WordPress 4.0.1 et les Shortcodes : Problèmes de compatibilité

Si vous avez mis votre site à niveau vers la version 4.0.1 et que les fonctions qui utilisent des shortcodes ne fonctionnent plus (slider, éditeur visuel, thèmes, etc…), c’est que le code du plugin ne respecte pas l’API WP Shortcode.

WordPress-401-shortcode

La meilleure façon de résoudre ce problème est de mettre vos plugin à jour. De nombreux plugin ont déjà publié des correctifs, d’autres sont en cours.

Bien qu’il soit possible de revenir à WP 4.0, il est fortement déconseillé de le faire en raison de la gravité des correctifs de sécurité. Si vous devez toutefois revenir en arrière, nous vous recommandons de harceler les développeurs de votre plugin ou thème, afin de les forcer à résoudre ce problème de compatibilité, sinon arrêtez d’utiliser leur produit.

Vous pouvez lire tous les détails sur ce problèmes entre WordPress 4.0.1 et les Shortcodes sur le site de trac de WordPress.

L’équipe de WordPress apprécie particulièrement le retour d’informations directement à son équipe de sécurité. Pour plus d’informations, consultez les notes de version ou consultez la liste des modifications.

Téléchargez WordPress 4.0.1 ou rendez vous dans la console d’administration de votre site et cliquez sur Mettre à Jour.

 

Avez vous déjà testé WordPress 4.1? La bêta 2 est disponible dès à présent (fichier zip), elle contient les correctifs de sécurité qui ont été citées plus haut. Pour plus de détails concernant la version  4.1 de WordPress, je vous invite à lire l’article WordPress 4.1 – La version Beta 1 est disponible.


 Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez cet article, Merci!

20 commentaires
  1. sam

    Bonjour, Je n'arrive pas à faire la mise à jour automatique de wordpress 4.0 vers 4.0.1. voila le message d'érreur : Téléchargement de la mise à jour depuis https://downloads.wordpress.org/release/fr_FR/wordpress-4.0.1.zip…Décompression de la mise à jour…Vérification des fichiers décompressés…Préparation de l'installation de la dernière version…La mise à jour ne peut pas être installée parce que nous n’allons pas pouvoir copier certains fichiers. Ce problème est généralement dû à des incohérences dans les permissions de fichiers.: wp-login.php Échec de l'installationPourriez vous m'aider à réaliser cette mise à jour? Par avance merci

  2. Hubert

    Bonjour,Si vous pouvez accéder à votre site via FTP, vérifiez que le fichier wp-login.php ait bien l'autorisation d'accès 644, généralement bouton droit sr le fichier, puis Propriétés. A priori d'après le message ce serait le seul problème. Relancez la mise à jour. Hubert

  3. Ravel

    BOnjour, je viens de mettre a jours mon wordpress, version 3.8.XX vers 4.0.1 depuis cette mise a jour, je ne retrouve ni mes pages, ni mes medias ni mais galleries dans l'administration de wordpress. POuvez vous m'aidez svp, en allant sur mon site www.misprod.com, tout y est encore, mais dans la partie administration NIET.De'avance merci

  4. Hubert

    Bonjour, Avez-vous fait une sauvegarde avant la mise à jour ? Essayez de vous déconnecter, et reconnectez vous. En général, je conseille de désactiver tous les plugin. Cet article vous aidera à le faire si vous ne les voyez plus dans l'admin. Ensuite charger le plugin Optimize DB ou WP CleanFix pour vérifier la base de données. Vous avez également WP Error Fix pour vous éider à répertorier les éventuelles erreurs dans le site. Tenez moi informé de l'évolution Hubert

  5. lestienne

    Bonjour,en voulant mettre wordpress 4.1 sur mon serveur OVH, j'ai un message d'erreur Parse error: syntax error, unexpected '{' in /home/pubegrap/www/wp-includes/functions.php on line 2672A quoi cela correspond il ? et quelle est la solution.Merci

  6. Hubert

    Bonjour, En principe ce problème se présente si vous avez ajoutez du code à la fin du fichier functions.php en laissant un espace vide. Si vous n'avez rien modifié, la meilleure solution est de désactiver tous les plugin et de tenter à nouveau la mise àjour. Si cela ne fonctionne toujours pasn passez au thème par défaut, Twenty Fourteen par exemple et faites la mise à jour, cela devrait fonctionner. Une fois la mise à jour en place vous pouvez réactiver votre thème et vos plugin.

  7. Cleve N.

    Bonjour,J'ai exactement le même problème que lestienne, pourtant je viens de déployer Wordpress 4.1 FR directement depuis mon FTP. Il n'y avait aucune autre version de Wordpress sur le serveur, Les fichiers viennent du Zip distribué par Worpress France... Une idée ? Merci d'avance pour votre aide Cordialement

  8. Hubert

    Bonjour,Si j'ai bien compris, vous avez installé la version 4.1 depuis le FTP pour faire la mise à jour. Si tel est la cas, passez au thème par défaut. Si l'erreur apparaît toujours, c'est qu'un plugin est incompatible, dans le cas contraire le thème que vous utilisez n'est pas compatible 4.1. Si l'erreur continue d'apparaître, envoyez moi l'erreur complète. Cordialement

  9. Anne

    Bonjour,J'ai exactement le même problème pour la refonte d'un blog. Depuis le site de wordpress.org-France, j'ai téléchargé hier la dernière version de Wordpress 4.1, directement sur mon ftp, dans un répertoire entièrement vide. Impossible d'obtenir autre chose sur ma page d'accueil que : Parse error : syntax error, unexpected '{' in /home/blogdesc/www2/wp-includes/functions.php on line 2672Y aurait-il une erreur dans ce fichier functions.php ? Comment y remédier ?Merci de votre réponse.

  10. Hubert

    Bonjour,Le fichier function n'est pas responsable, cela vient du mode de transfert utilisé. Souvent les logiciels ftp utilise le mode texte au lieu du mode binaire. La meilleure solution est de transférer via le gestionnaire de fichier de votre hébergeur, le problème ne devrait plus exister.

  11. jluc

    Bonjour Hubert,Voilà je viens vers vous car j'ai un soucis !Je possède un blog wordpress avec le thème optimizepress2, ce matin j'ai naturellement voulu effectuer la dernière mise à jour automatique de Wordpress 4.1.1 mais je suis resté sur mon panneau d'administration de mon wordpress mais vide sans rien. En gros ça tourne quelques secondes pour réaliser la mise à jour et rien à l'écran.Je précise que c'est la première fois que je suis face à ce problème. Est-ce une maintenance de Wordpress ? Que sais-je ?je signale quand même un autre détail, je suis hébergé chez ENOM et à chaque fois que je dois faire une mise à jour automatique de wordpress ou d'installer ou supprimer un plugin, je dois renseigner mon mot de passe FTP. Bon cela est un détail mais je trouve que c'est peut-être important de le signaler.En attente de votre réponse !Merci

  12. Hubert

    Bonjour, Ce genre de mésaventure arrive malheureusement assez régulièrement. Tout d'abord, ce que vous signalez à propos de votre hébergeur cela s'est déjà vu chez d'autres hébergeurs, rien de grave, simplement gênant. Pour votre problème,1- Via FTP allez dans le répertoire des thèmes et modifiez le nom de votre thème courant (l'ajout d'un tiret au début suffira) puis essayez d'accéder à votre site.Si cela ne fonctionne toujours pas2- Suivez l'article Désactivez les plugin WordPress sans avoir accès à wp-admin target="_blank". Tentez ensuite d'accéder à la console d'administration de votre site. En principe cela devrait fonctionner, faites la mise à jour, puis réactiver les plugin l'un après l'autre.Autre solution, téléchargez WordPress 4.1.1 mettez le sur la racine de votre site, et via le gestionnaire de fichier de votre hébergeur décompressez le fichier. La mise à jour s'appliquera et sauf au cas ou un plugin ou votre thème serait incompatible, tout devrait être rentré dans l'ordre. Bon courage :)

  13. Aurélie - comité des fêtes de Mondragon

    Bonjour, Suite à une mise à jour, je n'arrive plus a accéder à mon WordPress. Le message d'erreur est le suivant : Parse error: syntax error, unexpected T_STRING in /home/comitedeu/www/wp-content/plugins/backupwordpress/backupwordpress.php on line 34 Je ne sais absolument pas quoi faire pour régler ce problème. Pourriez vous m'indiquer la marche à suivre? Merci d'avance, Aurélie pour le comité des fêtes

  14. Hubert

    Bonjour Aurélie, Le problème vient du plugin backupwordpress selon l'erreur. J'utilise ce plugin sur un de mes sites, et n'ai aucun problème. Voici la marche à suivre : 1- Désactiver le plugin - 2- Supprimer le plugin - 3- Installer le plugin - En principe le problème devrait être résolu.

  15. Aurélie

    Bonjour, J'ai en effet trouvé la marche à suivre sur les anciens commentaires en passant par le ftp pour réaccéder à l'interface administrateur. Même après avoir désinstallé et réinstallé BackUpWordpress, le message d'erreur est toujours le même : Parse error: syntax error, unexpected T_STRING in /home/comitedeu/www/wp-content/plugins/backupwordpress/backupwordpress.php on line 34 N'y a t il pas moyen de faire quelque chose dans le php? Dans le cas contraire, quel autre système de sauvegarde me conseilleriez vous? Merci, Aurélie

  16. Hubert

    Il est toujours possible d'intervenir sur le code, mais vu que le plugin fonctionne très bien pour moi, ce n'est pas nécessaire. Vous me parlez FTP, comment avez vous installé le plugin? L'erreur peut venir d'un problème de transfert. Si vous le chargez via FTP vérifiez que le type de transfert soit binaire ou automatique.Parmi les autres solutions il y a BackupBuddy qui coûte $80 (env. €70), sinon en plugin gratuit, il a BackWPup qui fonctionne bien.

  17. Aurélie

    J'ai installé BackUpWordpress via WordPress. Je ne comprend pas pourquoi ça ne marche pas. ce qui est dommage, c'est que j'étais contente de ce plugin, ça m'embête de devoir le changer...

  18. Hubert

    Je viens de faire des recherches il semblerait que cette erreur survienne lorsque la version Php du serveur est inférieure à la version 5.4. Pouriez vous vérifier avec votre hébergeur? Sinon, essayez de transférer via FTP le plugin (fichier zip) dans wp-content/plugin et ensuite via le gestionnaire de fichier de votre hébergeur décompressez le.

  19. Aurélie

    OUF!!! j'y suis enfin arrivée ! pas évident pour une novice comme moi ! c'était bien une question de version php du serveur. Pour ceux à qui ça peut arriver avec OVH comme hébergeur, il faut se servir de cette page : https://www.ovh.com/fr/g1207.configurer-php-web#comment_passer_a_une_bonne_version_de_php_comment_migrer_vers_une_autre_version_de_php MERCI BEAUCOUP, HUBERT !

  20. Hubert

    Voila une excellent nouvelle :) .Si vous m'aviez cité le nom de votre hébergeur, la réponse aurait été plus rapide, une amie était chez eux et avait tous les problèmes du monde. Depuis, six mois elle a changé d'hébergeur et tout va mieux.

Laisser un commentaire

You have to agree to the comment policy.

-20% sur ElegantThemes.com Maintenant !Cliquez-ici !
+

-20% sur les thèmes et les plugins d’ElegantThemes.Com

SUMMER SALES -20%

Jours
Heures
Minutes