Mise à jour de sécurité WordPress

WordPress

Hier après-midi, une mise à jour de sécurité de WordPress a été publiée (vulnérabilités cross-site scripting & SQL injection), merci de vous assurer de la mise à jour de votre site WordPress vers les versions suivantes :
– Branche 4.2.x => 4.2.4
– Branche 4.1.x => 4.1.7
– Branche 4.0.x => 4.0.7
– Branche 3.9.x => 3.9.8
– Branche 3.8.x => 3.8.10
– Branche 3.7.x => 3.7.10
En principe sauf désactivation de votre part la mise à jour devrait se faire de manière automatique. Si ce n’est pas le cas, n’hésitez pas à la lancer vous-même (une simple visite sur le site devrait suffir).

Plus d’information sur le sujet dans communiqué suivant (en anglais) : https://wordpress.org/news/2015/08/wordpress-4-2-4-security-and-maintenance-release/

Si votre version est antérieure aux différentes branches citées ci-dessus, il faut mettre à jour votre installation vers une des versions ayant fait l’objet de cette correction pour être protégé.

Merci de relayer cette information largement pour la sécurité de tous.

Les extensions non maintenues et la sécurité

J’ai eu l’occasion d’intervenir dans le passé dans des discussions informelles sur l’intérêt de l’ajout de la fonctionnalité insérant un avertissement après 2 ans sans mise à jour ajoutée par les équipes de WordPress dans la galerie officielle des extensions.

On peut trouver, à juste titre, n’apporte pas grand-chose sinon venir contribuer à une augmentation de l’angoisse non justifiée autour de la sécurité de WordPress sans apporter d’intérêt d’un point de vue purement technique.

C’est vrai qu’une extension non mise à jour, n’est pas en soi dangereuse tant qu’elle ne présente pas de faille. Même si faire, une mise à jour à chaque version de WordPress me semble excessif, surtout si les fonctions qu’on utilise dans le code ne sont pas impactées, il faut quand même de temps en temps publier des mises à jour, au minimum pour s’assurer de suivre les évolutions de PHP (1 version majeur par an). Deux ans me paraît être une bonne indication d’une extension qui n’est plus trop suivie et dont il faut se méfier. S’il n’est pas nécessaire de la désinstaller, il est quand même important d’être vigilant.

L’extension permettant la gestion multilingue dans WordPress [b]qTranslate[/b] a fait l’objet d’une découverte d’une faille (XSS) dans son code. L’extension n’étant plus maintenue depuis plusieurs années par son auteur, la faille n’a donc pas fait l’objet d’une correction. Il est donc vivement recommandé de supprimer cette extension des sites WordPress sur laquelle elle fonctionne toujours et de la remplacer par une autre.

Donc, le panneau d’avertissement ne doit pas être pris pour une interdiction d’installer l’extension mais simplement une incitation à la vigilance, afin de ne pas se priver de fonctionnalités intéressantes.

Alerte sécurité, qTranslate doit être supprimé des sites WordPress

WordPress

L’extension permettant la gestion multilingue dans WordPress qTranslate a fait au début du mois de juillet l’objet d’une découverte d’une faille (XSS) dans son code. Cette découverte s’est déroulée selon la procédure de « divulgation responsable », c’est à dire, d’une information préalable de l’auteur. Pour ceux qui ne connaîtrait pas, les découvreurs de la faille préviennent d’abord l’auteur de la faille lui laissant un temps raisonnable (1 mois dans ce cas) pour la corriger avant de rendre la faille publique.

Le problème, c’est que cette extension n’était plus maintenue depuis plusieurs années par son auteur qui logiquement n’a pas répondu aux sollicitations. À l’expiration du délai, le 29 juillet dernier, la vulnérabilité a été rendue publique et est donc maintenant publique et risque désormais de faire l’objet d’une exploitation à très large échelle par un peu n’importe qui.

Dans ces circonstances, il est indispensable, de supprimer cette extension des sites sur laquelle elle fonctionne toujours et de la remplacer par une autre. Attention, la désactiver n’est pas suffisant ! En effet, si l’application n’est plus utilisable dans WordPress, le script étant toujours présent sur le serveur, il reste toujours potentiellement accessible en direct et peut conserver toute sa potentialité de nuisance. C’est vrai que sur ce type d’application permettant de gérer un très grand nombre de données, son remplacement est laborieux voir complexe, mais c’est indispensable pour maintenir la sécurité du site et doit être fait dans les plus brefs délais.

Cette extension a été retirée du dépôt officiel des extensions WordPress.

Merci de relayer cette information largement pour la sécurité de tous.

1 2 3 4 5 6 26