Depuis un certain temps, WordPress fait face à des vulnérabilités très critiques qui menacent la sécurité de millions de sites et blogs.
Déjà, à peine avait-il lancé la version 4.2 que WordPress reconnaissait, suite aux révélations de Sucuri.net, que de très nombreux plugins étaient susceptibles de faciliter la tâche aux pirates.
Pour tenter de clore ce chapitre, WordPress propose WordPress 4.2.2 et invite tous les webmasters à l'installer de toute urgence afin de prévenir toute vulnérabilité.
Cette version ultime 4.2.2 est destinée à corriger deux failles de sécurité précises :
- Le package d’icônes de Genericons, qui est utilisé dans un certain nombre de plugins et de thèmes populaires, contenait un fichier HTML vulnérable aux attaques par scripts entre sites.
Tous les thèmes et plugins hébergés sur WordPress.org (y compris le thème par défaut Twenty Fifteen) ont été mis à jour aujourd'hui par l'équipe de sécurité de WordPress pour régler ce problème en supprimant ce fichier non essentiel.
Pour vous protéger de toute autre utilisation de Genericons, WordPress 4.2.2 parcourt proactivement le répertoire “wp-content” pour cibler ce fichier HTML et le supprimer.
- Les versions 4.2 et antérieures de WordPress sont affectées par une vulnérabilité critique de type cross-site scripting (XSS) qui pourrait permettre à des utilisateurs anonymes de compromettre un site en entier. WordPress 4.2.2 inclut un patch complet pour corriger ce problème.
Le service Sucuri.net a publié le 6 Mai 2015 un post décrivant toutes ces failles de sécurité critiques et estime que ce sont les hébergeurs web qui devraient installer le patch. Il indique d’ailleurs que de nombreux hébergeurs tels que GoDaddy ou DreamHost l’ont déjà fait, mais il en reste encore beaucoup.
La mise à jour proposée aujourd’hui comprend également une meilleure protection contre toute vulnérabilité potentielle de type cross-site-scripting entre sites lors de l'utilisation de l'éditeur visuel de WordPress.
WordPress 4.2.2 contient également des correctifs pour les 13 bugs de la version 4.2 signalés auparavant.
Télécharger dès maintenant WordPress 4.2.2 ou rendez-vous sur votre tableau de bord pour effectuer rapidement votre mise à jour. Les sites qui ont activé les mises à jour automatiques en arrière-plan commencent déjà à migrer vers WordPress 4.2.2.
