Alerte sécurité, qTranslate doit être supprimé des sites WordPress

WordPress

L’extension permettant la gestion multilingue dans WordPress qTranslate a fait au début du mois de juillet l’objet d’une découverte d’une faille (XSS) dans son code. Cette découverte s’est déroulée selon la procédure de « divulgation responsable », c’est à dire, d’une information préalable de l’auteur. Pour ceux qui ne connaîtrait pas, les découvreurs de la faille préviennent d’abord l’auteur de la faille lui laissant un temps raisonnable (1 mois dans ce cas) pour la corriger avant de rendre la faille publique.

Le problème, c’est que cette extension n’était plus maintenue depuis plusieurs années par son auteur qui logiquement n’a pas répondu aux sollicitations. À l’expiration du délai, le 29 juillet dernier, la vulnérabilité a été rendue publique et est donc maintenant publique et risque désormais de faire l’objet d’une exploitation à très large échelle par un peu n’importe qui.

Dans ces circonstances, il est indispensable, de supprimer cette extension des sites sur laquelle elle fonctionne toujours et de la remplacer par une autre. Attention, la désactiver n’est pas suffisant ! En effet, si l’application n’est plus utilisable dans WordPress, le script étant toujours présent sur le serveur, il reste toujours potentiellement accessible en direct et peut conserver toute sa potentialité de nuisance. C’est vrai que sur ce type d’application permettant de gérer un très grand nombre de données, son remplacement est laborieux voir complexe, mais c’est indispensable pour maintenir la sécurité du site et doit être fait dans les plus brefs délais.

Cette extension a été retirée du dépôt officiel des extensions WordPress.

Merci de relayer cette information largement pour la sécurité de tous.

Alerte de sécurité sur WordPress

WordPress

  Suite à la découverte d’une faille dans le code de WordPress une correction vient d’être publiée pour WordPress 4.2.x. Merci de vous assurer de la mise à jour de votre site WordPress vers la version 4.2.3.
En principe sauf désactivation de votre part, la mise à jour devrait se faire de manière autonome. Si ce n’est pas n’hésitez pas à la lancer vous-même.

Plus d’information sur le sujet dans communiqué suivant (en anglais) : https://wordpress.org/news/2015/07/wordpress-4-2-3/

Merci de relayer cette information largement pour la sécurité de tous.

Compter le nombre de mots d’un fichier .po

Réalisant des traductions très régulièrement pour des extensions ou thèmes WordPress, je me pose régulièrement la question de savoir le nombre de mots contenu dans un fichier .po. Si cette information est présente dans certaines plates-formes de traductions de manière plus ou moins intuitive, Poedit ne le permet que depuis peu de temps mais uniquement avec la version Pro. Étant sous Linux, les dépôts proposent une version un peu ancienne (1.5.4 datant d’octobre 2012 alors que la dernière version est 1.8.2 datant de fin juin). Comme je préfère rester avec les logiciels contenus dans les dépôts plutôt de que compiler le logiciel à chaque mise à jour, je reste dans cette version qui fonctionne très bien ce qui me prive d’une version Pro récente.

Après me direz-vous quel intérêt de connaître ne nombre de mots d’un fichier .po, d’autant que Poedit indique déjà le nombre de phrases à traduire ? Cela permet surtout de connaître le temps que l’on va passer sur une traduction, le nombre de phrases étant une donnée peu fiable et surtout très variable d’un développeur à l’autre et même au sein d’une même application comme WordPress. Un exemple ? Le fichier  admin-fr_FR.po contenant la traduction de l’interface d’administration de WordPress contient 2 412 phrases pour 21 419 mots (8,88 mots / phrase) alors que le fichier fr_FR.po contenant le reste des traductions compte 1 617 phrases pour 7 559 mots (4,67 mots / phrase). Vous comprenez mieux le problème.

Sous Linux, la solution est très simple, puisqu’il suffit d’utiliser le petit utilitaire pocount contenu dans le paquet translate-toolkit qui fera le travail. Lancez la commande suivante pour ajouter le paquet nécessaire :

sudo apt-get install translate-toolkit

Il ne reste plus qu’à lancer la commande pocount sur le fichier .po de votre choix pour récupérer les statistiques du fichier :

pocount admin-fr_FR.po
admin-fr_FR.po
type              strings      words (source)    words (translation)
translated:    2412 (100%)      21419 (100%)           25144
fuzzy:            0 (  0%)          0 (  0%)             n/a
untranslated:     0 (  0%)          0 (  0%)             n/a
Total:         2412             21419                  25144
unreviewed:     2412 (100%)      21419 (100%)           25144

On ne peut guère faire plus simple.

1 3 4 5 6 7 26