Du site WordPress officiel l’info est arrivée hier, une faille de sécurité critique sous WP 4.0 détectée récemment oblige les webmasters à upgrader vers la 4.01 : https://wordpress.org/news/2014/11/wordpress-4-0-1/
Bien entendu, les versions récentes du CMS le plus populaire au monde auront fait la mise à jour automatiquement, si vous avez paramétré le site correctement à cet effet.
A noter également qu’hier 20 novembre 2014 le blog dédié à la sécurité Security Advisory remontait une faille sur un plugin wordpress cette fois, WP-Statistics : http://blog.sucuri.net/2014/11/security-advisory-high-severity-wp-statistics-wordpress-plugin.html
A vos mises à jour ! Et n’oubliez pas que concernant le CMS Wordpress, sa popularité en fait sa principale faiblesse, car les pirates du monde entier cherchent à pénétrer ses fichiers pour y installer des codes malicieux, comme on l’a déjà vu dans les pages du réseau dumac à propos des :
plugin wordpress
thèmes wordpress
noyaux wordpress (core)
Voir en effet tous nos articles sur ce sujet !
A noter que le type d’attaque par cross-site scripting (XSS) possible avec WP-Statistics tire profit d’une mauvaise utilisation (sanitazation) des expressions régulières qui sont censées filtrer l’injection de code javascript. Du coup, l’attaquant peut insérer du code JS dans les commentaires. Ce code sera alors exécuté lorsque l’administrateur du site WordPress consultera (alors loggé en tant qu’admin) l’interface des commentaires.
A partir de là, il est possible de créer un nouveau compte admin, voire d’exécuter du code PHP sur le serveur, etc etc
Ce type de vulnérabilité est considéré comme une des plus importantes jamais découverte dans WP depuis 2009 selon celui qui l’a découverte, Jouko Pynnonen. Source : http://klikki.fi/adv/wordpress.html
La bonne nouvelle, c’est que les RegEx utilisées ont été améliorées sur la version 4.0 du noyau WP.