Faille de sécurité WordPress 4.0 Migrez vers WordPress 4.0.1

21.11.2014 | Mis à jour le 24.11.2014 | Réseau Dumac
695 visiteurs  -  Aucun commentaire

Du site WordPress officiel l’info est arrivée hier, une faille de sécurité critique sous WP 4.0 détectée récemment oblige les webmasters à upgrader vers la 4.01 : https://wordpress.org/news/2014/11/wordpress-4-0-1/

Bien entendu, les versions récentes du CMS le plus populaire au monde auront fait la mise à jour automatiquement, si vous avez paramétré le site correctement à cet effet.

A noter également qu’hier 20 novembre 2014 le blog dédié à la sécurité Security Advisory remontait une faille sur un plugin wordpress cette fois, WP-Statistics : http://blog.sucuri.net/2014/11/security-advisory-high-severity-wp-statistics-wordpress-plugin.html

A vos mises à jour ! Et n’oubliez pas que concernant le CMS Wordpress, sa popularité en fait sa principale faiblesse, car les pirates du monde entier cherchent à pénétrer ses fichiers pour y installer des codes malicieux, comme on l’a déjà vu dans les pages du réseau dumac à propos des :

-  plugin wordpress
-  thèmes wordpress
-  noyaux wordpress (core)

Voir en effet tous nos articles sur ce sujet !

A noter que le type d’attaque par cross-site scripting (XSS) possible avec WP-Statistics tire profit d’une mauvaise utilisation (sanitazation) des expressions régulières qui sont censées filtrer l’injection de code javascript. Du coup, l’attaquant peut insérer du code JS dans les commentaires. Ce code sera alors exécuté lorsque l’administrateur du site WordPress consultera (alors loggé en tant qu’admin) l’interface des commentaires.

A partir de là, il est possible de créer un nouveau compte admin, voire d’exécuter du code PHP sur le serveur, etc etc

Ce type de vulnérabilité est considéré comme une des plus importantes jamais découverte dans WP depuis 2009 selon celui qui l’a découverte, Jouko Pynnonen. Source : http://klikki.fi/adv/wordpress.html

La bonne nouvelle, c’est que les RegEx utilisées ont été améliorées sur la version 4.0 du noyau WP.

Dans la même rubrique

Derniers Commentaires

Articles récemment mis à jour

Too Cool for Internet Explorer

Reseau Dumac : le site des anciens étudiants du diplôme universitaire média interactif et ses applications est motorisé par le logiciel libre Spip 1.8.3 associé au squelette graphique BliP 0.91

17 rubriques ... 176 articles ... 2 commentaires ... 63 sites référencés ... 8 visiteurs par jour (102761 au total)

Haut de page | XHTML 1.0 | CSS 2