fermer
Blogging

Mettez à jour ! WordPress 4.5.3 corrige une grosse faille

WordPress : la sécurité mise à mal

L’équipe WordPress.org vient d’annoncer une nouvelle version du populaire CMS, WordPress 4.5.3, qui comprend des correctifs pour 8 bugs de sécurité, et 17 problèmes de maintenance.

La faille de sécurité la plus importante du projet, qui est désormais patché dès lors que vous mettez à jour votre plate-forme de blogging, permettait à un hacker de modifier le mot de passe d’un utilisateur en récupérant les cookies. Michael Adams, de l’équipe de sécurité de WordPress, a découvert ce problème en interne.

Les cookies de navigateur sont faciles à dérober, et il y a beaucoup d’opportunités par une simple injection XSS (cross-site scripting), allant jusu’à voler le cookie d’un utilisateur pour un site spécifique, ou pour tous.

L’équipe WordPress a également corrigé un problème de redirection dans le thème, et une autre problématique dans la fonction d’historique des révisions. Il a également été rapporté deux vulnérabilités XSS. Les deux ont été trouvés dans la façon dont WordPress gère le nom des pièces jointes dans les pages. Rien de trop grave, mais encore une fois, un problème XSS n’est dangereux que s’il n’est pas corrigé. WordPress 4.5.3 a également corrigé une faille, permettant à des hackers d’éliminer les catégories de vos articles.

WordPress 4.5.3, la mise à jour obligatoire

L’équipe Automattic a d’ores et déjà poussée la mise à jour. Pour tous ceux ayant configuré les mises à jour automatiques, cette dernière version est déjà installée sur votre installation. Pour tous les autres, il faudra manuellement déclencher la mise à jour depuis le tableau de bord en cliquant sur un unique bouton.

Quoi qu’il en soit, et si ce n’est pas le cas, faites vites la mise à jour !

Tags : sécuritéWordPressWordPress 4.5.3
Yohann Poiron

The author Yohann Poiron

J’ai fondé le BlogNT en 2010. Autodidacte en matière de développement de sites en PHP, j’ai toujours poussé ma curiosité sur les sujets et les actualités du Web. Je suis actuellement engagé en tant qu’architecte interopérabilité.