Décidément, la série continue, à croire que la chasse aux failles dans WordPress soit devenu un sport international dont le nombre de licenciés ne cesse de croire ou que le rythme des 3 publications annuelles de version majeure, se fasse au détriment des tests et des revues de code.
Donc pour ne rien changer aux habitudes de ces dernières semaines, suite à la découverte de nouvelles failles dans le code de WordPress (cross-site scripting) et dans le thème 2015, une version corrective vient d’être publiée dans la nuit. Merci de vous assurer de la mise à jour de votre site WordPress vers les versions suivantes :
- Branche 4.2.x => 4.2.2
- Branche 4.1.x => 4.1.5
- Branche 4.0.x => 4.0.5
En principe sauf désactivation de votre part, la mise à jour devrait se faire de manière autonome. Si ce n’est pas n’hésitez pas à la lancer vous-même.
Pour les branches 3.X, je ne sais pas si elles on réellement fait l’objet d’un correctif ou pas, leur numéro de version n’a pas changée, mais les pages du codex les concernant ont été mises à jour au 6 mai. À part faire une comparaison de code avant après, difficile à dire comme cela. N’ayant plus depuis longtemps ces versions, cela m’est impossible. Dans tous les cas, il faut vous assurer que vous avez les versions suivantes :
- Branche 3.9.x => 3.9.6
- Branche 3.8.x => 3.8.8
- Branche 3.7.x => 3.7.8
Le thème Twenty Fifteen quant à lui doit être mis à jour en version 1.2. Attention, même si vous ne l’utilisez pas, à partir du moment ou le thème est présent dans votre site, vous devez le mettre à jour.
Plus d’information sur le sujet dans communiqué suivant (en anglais) : https://wordpress.org/news/2015/05/wordpress-4-2-2/ Merci de relayer cette information largement pour la sécurité de tous.