Sécurité WordPress

WordPress 4.2.2 – Patch de Sécurité Critique et de Maintenance

7 mai 2015

WordPress 4.2.2 – Patch de Sécurité Critique et de Maintenance

WordPress 4.2.2 est disponible depuis quelques heures. Il s’agit d’une mise à jour de sécurité critique pour toutes les versions précédentes et nous vous encourageons fortement à mettre à jour vos sites immédiatement.

WordPress 4.2.2 – Sécurité Critique et de Maintenance

Mise à jour WordPress 4.2.2

WordPress 4.2.2 – Pourquoi?

Une faille de sécurité WordPress, qui pourrait affecter des millions d’utilisateurs de WordPress, a été découverte.

Le problème, repéré par la firme de sécurité Sucuri , a été identifiée comme une faille de type Cross Site Scripting basée sur le DOM. Ce genre d’attaque est exécutée dans le navigateur de la victime par le script original côté client, de sorte que le code côté client s’exécute d’une manière « inattendue ».

La vulnérabilité concerne la police de caractères Genericon, et plus spécifiquement le fichier exemple.html.Tous les thèmes ou plugin qui utilise le fichier exemple.html sont potentiellement vulnérables, donc si votre thème ou l’un de vos plugin utilisent les icônes vectorielles, votre site pourrait être à risque.

Plus inquiétant, le thème TwentyFifteen, thème par défaut de WordPress, et le plugin populaire Jetpack, avec plusieurs millions d’utilisateurs actifs, font tous deux partie des produits visés par la faille. Selon Sucuri, la vulnérabilité est relativement simple à exploiter, mais compte tenu que la faille a été dévoilée à temps, l’impact réel devrait être limité.

Bonnes nouvelles: la vulnérabilité est relativement simple à corriger.

Rendez vous dans le répertoire « wp-content/themes/twentyfifteen/genericons » et éliminez le fichier  exemple.html, si ce n’est pas déjà fait par la mise à jour.

Autres bonnes nouvelles: lorsque la vulnérabilité a été identifiée, la semaine dernière, Sucuri a pro-activement averti un grand nombre de services d’hébergement. Les hébergeurs suivants ont déjà résolu le problème:

  • WP Engine
  • GoDaddy
  • DreamHost
  • HostPapa
  • ClickHost
  • Inmotion
  • Pagely
  • Pressable
  • Websynthesis
  • Site5
  • SiteGround

Si vous hébergez votre site Web avec l’un de ces services, nul besoin de vous inquiéter, le problème est déjà résolu. Toutefois, si vous utilisez un autre hébergeur, vous devez supprimer manuellement le fichier vulnérable, si la mise à jour ne le fait pas, pour vous protéger.

Excellent travail de l’équipe de Sucuri qui a signalé cette vulnérabilité de grande envergure suffisamment tôt pour que le problème puisse être contenu!

WordPress 4.2.2 – La solution

La version 4.2.2 corrige deux problèmes de sécurité:

1- La police de caractères Genericon, utilisée dans un certain nombre de thèmes populaires et de plugin, contenait un fichier HTML vulnérable à une attaque de type Cross Site Scripting. Tous les thèmes et les plugin concernés, hébergés sur le site WordPress.org (y compris le thème par défaut, Twenty Fifteen) ont été mis à jour aujourd’hui par l’équipe de sécurité de WordPress pour résoudre ce problème en supprimant le fichier non essentiel.

Pour améliorer la protection de la police Genericons, la version 4.2.2 balaye de façon pro-active le répertoire wp-content à la recherche de ce fichier HTML et le supprime, le cas échéant.

2- WordPress 4.2 et les versions antérieures sont affectés par une vulnérabilité de type Cross Site Scripting critique, qui pourrait permettre à des utilisateurs anonymes de compromettre un site. La nouvelle version 4.2.2 inclut un correctif complet pour ce problème.

La version 4.2.2 inclut également un durcissement pour une faille potentielle de type Cross Site Scripting lors de l’utilisation de l’éditeur visuel.

WordPress 4.2.2 contient également des correctifs pour 13 bugs de la version 4.2. Pour plus d’informations, consultez les notes de version ou consultez la liste des modifications.

Télécharger WordPress 4.2.2 ou rendez-vous dans votre tableau de bord → Mises à jour et cliquez sur ​​«Mettre à jour maintenant. » Les sites qui prennent en charge les mises à jour automatiques commencent déjà la mise à jour vers WordPress 4.2.2.

 

Que pensez vous de cette nouvelle vulnérabilité critique? Laissez vos réponses dans la section des commentaires ci-dessous!


 La sécurité est l’affaire de tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!

4 commentaires
  1. newsoftpclab

    Je ne dirai pas que wordpress est sujet à des failles informatique.Toutefois cela en fait beaucoup sur une courte période.

  2. Hubert

    Des failles oui, informatiques d'une certaine façon, mais là n'est pas le problème. Espérons toutefois que d'ici la version 4.3 plus rien ne viendra entâcher la réputation de WordPress

  3. hammoy

    Merci pour ce post ... Est-ce que la maj peut se faire en local avec la procédure auto à partir de 4.1.5 ? Je préfère tester avant de le faire sur le site de prod, mais quand je lance la procédure auto, il semble commencer à d/l le zip puis plus rien. Qué pasa ? Merci

  4. Hubert

    A ma connaissance, la mise automatique en local ne fonctionne pas toujours. Je vous conseillerai de faire une mise à jour manuelle. Avant d'installer la mise à jour, faites une copie du répertoire de votre thème et du fichier wp-config.php.Téléchargez la dernière version, copiez la dans le site local, décompressez et écrasez tous les fichiers existants. Une fois terminé, votre site local devrait fonctionner.

Laisser un commentaire

You have to agree to the comment policy.

-25% sur ElegantThemes.com Maintenant !Cliquez-ici !
+