Mise à jour de sécurité WordPress 4.3

WordPress

Bonjour,

Hier après-midi, une mise à jour de sécurité de WordPress a été publiée (2 failles de vulnérabilités cross-site scripting & une élévation de privilèges), merci de vous assurer de la mise à jour de votre site WordPress 4.3.0 vers la version 4.3.1.

En principe sauf désactivation de votre part la mise à jour devrait se faire de manière autonome. Si ce n’est pas le cas, n’hésitez pas à la lancer vous-même.

Plus d’information sur le sujet dans communiqué suivant (en anglais) : https://wordpress.org/news/2015/09/wordpress-4-3-1/

Merci de relayer cette information largement pour la sécurité de tous.

Alerte sécurité, qTranslate doit être supprimé des sites WordPress

WordPress

L’extension permettant la gestion multilingue dans WordPress qTranslate a fait au début du mois de juillet l’objet d’une découverte d’une faille (XSS) dans son code. Cette découverte s’est déroulée selon la procédure de « divulgation responsable », c’est à dire, d’une information préalable de l’auteur. Pour ceux qui ne connaîtrait pas, les découvreurs de la faille préviennent d’abord l’auteur de la faille lui laissant un temps raisonnable (1 mois dans ce cas) pour la corriger avant de rendre la faille publique.

Le problème, c’est que cette extension n’était plus maintenue depuis plusieurs années par son auteur qui logiquement n’a pas répondu aux sollicitations. À l’expiration du délai, le 29 juillet dernier, la vulnérabilité a été rendue publique et est donc maintenant publique et risque désormais de faire l’objet d’une exploitation à très large échelle par un peu n’importe qui.

Dans ces circonstances, il est indispensable, de supprimer cette extension des sites sur laquelle elle fonctionne toujours et de la remplacer par une autre. Attention, la désactiver n’est pas suffisant ! En effet, si l’application n’est plus utilisable dans WordPress, le script étant toujours présent sur le serveur, il reste toujours potentiellement accessible en direct et peut conserver toute sa potentialité de nuisance. C’est vrai que sur ce type d’application permettant de gérer un très grand nombre de données, son remplacement est laborieux voir complexe, mais c’est indispensable pour maintenir la sécurité du site et doit être fait dans les plus brefs délais.

Cette extension a été retirée du dépôt officiel des extensions WordPress.

Merci de relayer cette information largement pour la sécurité de tous.

Encore des mises à jour de sécurité WordPress et thème 2015

Décidément, la série continue, à croire que la chasse aux failles dans WordPress soit devenu un sport international dont le nombre de licenciés ne cesse de croire ou que le rythme des 3 publications annuelles de version majeure, se fasse au détriment des tests et des revues de code.

Donc pour ne rien changer aux habitudes de ces dernières semaines, suite à la découverte de nouvelles failles dans le code de WordPress (cross-site scripting) et dans le thème 2015, une version corrective vient d’être publiée dans la nuit. Merci de vous assurer de la mise à jour de votre site WordPress vers les versions suivantes :

  • Branche 4.2.x => 4.2.2
  • Branche 4.1.x => 4.1.5
  • Branche 4.0.x => 4.0.5

En principe sauf désactivation de votre part, la mise à jour devrait se faire de manière autonome. Si ce n’est pas n’hésitez pas à la lancer vous-même.

Pour les branches 3.X, je ne sais pas si elles on réellement fait l’objet d’un correctif ou pas, leur numéro de version n’a pas changée, mais les pages du codex les concernant ont été mises à jour au 6 mai. À part faire une comparaison de code avant après, difficile à dire comme cela. N’ayant plus depuis longtemps ces versions, cela m’est impossible. Dans tous les cas, il faut vous assurer que vous avez les versions suivantes :

  • Branche 3.9.x => 3.9.6
  • Branche 3.8.x => 3.8.8
  • Branche 3.7.x => 3.7.8

Le thème Twenty Fifteen quant à lui doit être mis à jour en version 1.2. Attention, même si vous ne l’utilisez pas, à partir du moment ou le thème est présent dans votre site, vous devez le mettre à jour.

Plus d’information sur le sujet dans communiqué suivant (en anglais) : https://wordpress.org/news/2015/05/wordpress-4-2-2/ Merci de relayer cette information largement pour la sécurité de tous.

1 2 3 5