Les extensions non maintenues et la sécurité

J’ai eu l’occasion d’intervenir dans le passé dans des discussions informelles sur l’intérêt de l’ajout de la fonctionnalité insérant un avertissement après 2 ans sans mise à jour ajoutée par les équipes de WordPress dans la galerie officielle des extensions.

On peut trouver, à juste titre, n’apporte pas grand-chose sinon venir contribuer à une augmentation de l’angoisse non justifiée autour de la sécurité de WordPress sans apporter d’intérêt d’un point de vue purement technique.

C’est vrai qu’une extension non mise à jour, n’est pas en soi dangereuse tant qu’elle ne présente pas de faille. Même si faire, une mise à jour à chaque version de WordPress me semble excessif, surtout si les fonctions qu’on utilise dans le code ne sont pas impactées, il faut quand même de temps en temps publier des mises à jour, au minimum pour s’assurer de suivre les évolutions de PHP (1 version majeur par an). Deux ans me paraît être une bonne indication d’une extension qui n’est plus trop suivie et dont il faut se méfier. S’il n’est pas nécessaire de la désinstaller, il est quand même important d’être vigilant.

L’extension permettant la gestion multilingue dans WordPress [b]qTranslate[/b] a fait l’objet d’une découverte d’une faille (XSS) dans son code. L’extension n’étant plus maintenue depuis plusieurs années par son auteur, la faille n’a donc pas fait l’objet d’une correction. Il est donc vivement recommandé de supprimer cette extension des sites WordPress sur laquelle elle fonctionne toujours et de la remplacer par une autre.

Donc, le panneau d’avertissement ne doit pas être pris pour une interdiction d’installer l’extension mais simplement une incitation à la vigilance, afin de ne pas se priver de fonctionnalités intéressantes.

WordPress, Emoji et Linux

Logo Linux Tux

Étant né dans le siècle précédent, à une époque où l’on imaginait pas encore qu’il y aurait 10 ans plus tard un ordinateur dans sa maison, je n’ai pas grandi avec les réseaux sociaux et n’en suis pas un fervent utilisateur. Lorsque WordPress a annoncé, avec la version 4.2, la prise en charge des caractères emoji, j’avoue m’être demandé ce que cela pouvait bien être.
En creusant un peu, j’ai compris qu’il s’agissait simplement des émoticônes un peu plus élaboré que, à l’instar de Monsieur Jourdain, j’ai utilisé quelque fois sans savoir ce que c’était, dans quelques séances de discussion en ligne.
En jetant un coup d’œil dans le codex WordPress pour comprendre un peu comment cela fonctionne, je découvre des instructions pour Windows et Mac OS, mais pas Linux dont je suis là par contre un fervent partisan. Voici donc quelques informations sur le sujet sur Linux.
La première question à se poser, c’est est-ce que mon installation les prend actuellement en compte ? La chose est facile à vérifier, si vous voyez un pingouin 🐧 et un éléphant 🐘 (petite référence à Linux et PHP) alors votre installation les prend bien en charge. Si en revanche vous voyez des carrés avec des points, vous savez maintenant à quoi correspondent ces symboles. Tous les caractères sur la page ne sont pas complètement pris en charge (il manque les drapeaux et quelques symboles) avec ce package sous Ubuntu 14.04 mais l’immense majorité est supportée.
Il reste à savoir comment les installer. C’est très simple, sous les distributions basées sur Debian, il vous suffit d’installer le paquetage ttf-ancient-fonts et gdouros-symbola-fonts pour les distributions basées sur RedHat.
Reste une dernière question, la saisie. Un site les répertorie tous par thème, il s’agit de getemoji.com. Un simple copier / coller et vous permet d’insérer votre caractère emoji dans votre article / page WordPress.
Bon, pas franchement indispensable, mais cela permet d’être un peu moins bête… ツ

1 2