7 failles de sécurité de WordPress 5.0 à corriger immédiatement

A peine WordPress 5.0 a-t-il été déployé que WordPress a publié 2 mises à jour pour corriger plusieurs vulnérabilités déjà présentes.

Ce qui n’est pas étonnant si on tient compte des avertissements de nombreux développeurs qui estimaient que cette nouvelle version n’avait pas été suffisamment testée et que de nombreux bugs y figuraient encore.

En fait, ces vulnérabilités récemment découvertes existent depuis la version 3.7.

Si vous avez WordPress 5.0, mettez dès maintenant à niveau vers la version 5.0.1. Si vous voulez rester avec WordPress 4, mettez à jour vers la version 4.9.9.

La mise à jour peut provoquer des problèmes de compatibilité avec certains plugins et thèmes. Mais c'est moins difficile que d'être piraté.

Dès l’introduction de son post d’annonce, l’organisation WordPress.org déclare :

WordPress 5.0.1 est maintenant disponible. Il s'agit d'une version de sécurité pour toutes les versions depuis WordPress 3.7.

Nous vous encourageons vivement à mettre à jour vos sites immédiatement.

Les vulnérabilités de WordPress

Il y a 7 problèmes de sécurité qui permettent aux pirates d'obtenir l'accès à un site WordPress :

1. Suppression de fichier authentifié :
   
   
   • Les auteurs pourraient modifier les méta-données pour supprimer des fichiers pour lesquels ils n’avaient aucune autorisation.
   
   
   
2. Type Bypass de post authentifié :
   
   
   • Les auteurs pourraient créer des publications de type posts non autorisés avec des entrées spécialement conçues.
   
   
   
3. Injection d'objet PHP via Meta Data :
   
   
   • Les contributeurs pourraient créer des méta-données d'une manière qui aboutit à l'injection d'objet PHP.
   
   
   
4. Cross-Site Scripting authentifiés (XSS) :
   
   
   • Les contributeurs pourraient modifier les nouveaux commentaires des utilisateurs disposant de privilèges supérieurs, ce qui pourrait conduire à une vulnérabilité de type Cross-Site Scripting.
   
   
   
5. Cross-Site Scripting (XSS) qui pourrait affecter les plugins :
   
   
   • Les entrées d'URL spécialement conçues pourraient entraîner une vulnérabilité de type Cross-Site Scripting (script inter-sites) dans certaines circonstances.
     
     WordPress lui-même n'a pas été affecté, mais les plugins pourraient l’être dans certaines situations.
   
   
   
6. L’écran d’activation de l’utilisateur est récupéré par les moteurs de recherche :
   
   
   • L’écran d'activation de l'utilisateur pourrait être indexé par les moteurs de recherche dans certaines configurations peu communes, conduisant à l'exposition des adresses e-mail, et dans certains cas rares, des mots de passe générés par défaut.
   
   
   
7. Téléchargement des fichiers vers XSS sur des serveurs Web Apache :
   
   
   • Les auteurs sur les sites WordPress hébergés sur Apache pourraient télécharger des fichiers spécialement conçus qui contournent la vérification MIME, conduisant à une vulnérabilité de de type Cross-Site Scripting.

Les versions de WordPress touchés

Ces 7 failles de sécurités affectent les versions 3, 4 et 5 de WordPress.

Tous les utilisateurs de WordPress devront immédiatement mettre à niveau leurs versions actuelles vers les versions WordPress 4.9.9 et WordPress 5.0.1.

WordPress 5.0.1 Security Release https://t.co/a4HxqMcvPv

— WordPress (@WordPress) 13 décembre 2018

Voici ce que dit l'annonce officielle WordPress :

Les versions de WordPress 5.0 et antérieures sont affectées par les bugs suivants, qui sont corrigés dans la version 5.0.1.

Les versions mises à jour de WordPress 4.9 et les versions antérieures sont également disponibles, pour les utilisateurs qui n'ont pas encore mis à jour vers 5.0.

Problèmes de compatibilité descendante

Une faille de compatibilité descendante est un problème qui fait que certaines fonctions ne fonctionnent plus.

Par exemple, l’élément <form> a été désactivé de sorte que les auteurs ne peuvent l’utiliser. Cela pourrait affecter la façon dont les plugins fonctionnent à moins qu'ils ne soient également mis à jour afin de fonctionner dans le nouvel environnement.

Un autre problème affectant les versions mises à niveau de WordPress est l'incapacité à télécharger des fichiers CSV.

D’après Searchenginejournal, et selon un contributeur de WordPress, il était nécessaire de désactiver le téléchargement de fichiers CSV :

Ma seule suggestion serait que, si vous ne l’’avez pas déjà fait, il est probablement plus sûr d'installer la mise à jour immédiatement, puis de réparer tout ce qui est “brisé”, plutôt que d'essayer de déterminer ce qui “se brisera” avant d'installer la mise à jour.

Devriez-vous mettre à niveau ?

Oui, vous devriez mettre à niveau immédiatement. Beaucoup de sites WordPress sont mis à niveau automatiquement.

Si vous n'êtes pas mis à niveau vers 4.9.9 ou à 5.0.1 actuellement, alors vous devez lancer une mise à jour immédiatement.

Sachez que les vulnérabilités doivent être prises très au sérieux. Rester avec une version obsolète de WordPress pourrait peut-être vous exposer à un acte de piratage.