L’Hebdo WordPress n°246 : WordPress 4.0.1 – Faille – WP Tech

L’Hebdo WordPress n°246 : WordPress 4.0.1 – Faille – WP Tech

Cofondateur et ancien Vice-Président de l'association WPFR Coorganisateur des WordCamps Paris jusqu'en 2016 et du WordCamp Europe 2017

WordPress 4.0.1 est arrivée

Il y a 10 jours la première mise à jour mineure de WordPress 4.0 (en) a débarqué. Si la mise à jour automatique était activée sur vos sites, vous avez du la recevoir, pour les autres, j’espère que vous avez réalisez cette mise à jour. Voici pourquoi elle est importante.

Une faille critique dévoilée dans WordPress

La semaine dernière, le petit monde de WordPress était en ébullition devant l’annonce tonitruante d’une nouvelle faille importante. La presse spécialisée s’est même engouffrée dans cette brèche grande ouverte.

Il s’agit peut-être de la pire vulnérabilité de l’application de ces cinq dernières années, car celle-ci offre le moyen à un pirate d’attaquer les visiteurs d’un site sous WordPress (les versions 3.0 à 3.9.2 ; la 4.0  n’est pas concernée).

Déjà, premier constat, si votre site est à jour, vous  ne risquez rien, puisque la dernière version 4.0 n’est pas concernée… Mais en lisant plus attentivement on voit que :

Pour s’exécuter l’attaque a besoin du plugin WP-Statistics. Cette extension permet d’injecter du JavaScript dans les commentaires,

A la lecture de cet article on peut penser que WordPress n’est pas totalement en cause… mais qu’une fois de plus une extension est la vraie source du problème… mais pas forcément. Julio décrypte tout cela.

Il faut donc retenir que la mise à jour de WordPress, des thèmes et des extensions est d’une importance capitale.

WPTech les retours !

Retour sur le WordCamp Europe 2014

Whodunit revient sur son WordCamp Europe 2014.

Les thèmes et la sécurité

Korben aborde le sujet de la sécurité dans les thèmes.

Accepter la règle des 5 % de Matt

C’est ce qu’a fait Ovirium.com (en).

15 problèmes fréquents sur des sites de TPE

Si 15 problèmes devaient être recensés sur les sites web de TPE, ils pourraient être ceux-là !

WooThemes recrute !

Vous voulez rejoindre Woothemes ? c’est le moment ! (en)

34…

c’est le nombre de sites sous WordPress qui composent le top 50 des premiers blogs français.

Une marmite pleine de sécurité

C’est la 8e interview par Alex et cette fois c’est Julio qui s’y colle !

Afficher les dates réelles de mise à jour

L’écho des plugins parle d’une extension qui va permettre de montrer la date de dernière modification : Last Modified Timestamp.

Tout savoir sur les flux RSS

WPFormation aborde la question des flux RSS dans WordPress. Revue de détails.

Une page d’archive pour un format d’article

Vous avez découvert les formats d’articles et maintenant vous voudriez accéder à une page d’archive spécifique pour chacun d’eux ? Aurélien va vous aider avec ce tuto… et vous pourrez même ajouter un format d’article sur un type de contenu.

5 extensions multilingues

5 extensions multilingues passent à la marmite ! A table !

Les meilleures extensions selon WPMarmite

WPMarmite propose une infographie avec les meilleures extensions qu’il préconise.

13 commentaires

  1. Alex

    Salut Benoit,

    C’est vrai que l’histoire de la faille a été assez exagérée, WP Statistics possède 800K téléchargements mais ce n’est tout de même pas tous les sites WordPress (sachant que le problème n’était plus présent en 4.0). Mais bon, ces sites ont besoin de buzz pour augmenter leurs revenus publicitaires..

    En tout cas, merci pour le partage des articles de la Marmite 😉

  2. Li-An

    Ouh, on parle d’un de mes billets. C’est trop de la balle…

    WP étant devenu incontournable, je sens qu’on n’a pas fini de voir du buzz autour de lui dans les prochaines années.

  3. Li-An

    L’article de Zdnet ressemble à un reportage de la TNT avec de gros titres anxiogènes pour ne pas dire grand chose. Si c’est la « pire faille WP », on peut considérer que WP est quand même bien secure. Un « spécialiste » qui se fait mousser et des sites qui n’ont rien à raconter d’intéressant. En tous les cas, ça rappelle l’importance de mettre à jour son WP – et des limitations sur les plugins qui ne sont plus maintenus.

  4. Fabrice

    Attention @Alex et @Li-An, selon Julio la faille est exploitable même sans WP Statistic…

    Autrement dit, seule la màj peut nous prémunir de cette faille 😉

    Merci @Benoit pour la mention et l’hebdo !

  5. luciole135

    J’ai l’impression que l’article de Julio est une traduction de celui de Klikki, mais il ne le dit pas.
    Je me trompe ou c’est vraiment un manque d’élégance ?

  6. albert

    C’est toujours le problème des extensions, mais comme même dire que c’est la pire vulnérabilité de ces cinq dernières années c’est de n’importe quoi.

  7. luciole135

    Quant aux plugins conseillés par WP Marmitte, je m’interroge sur les critères de choix d’une telle sélection car par exemple WP optimize n’est pas un modèle de codage !
    Ce plugin est chargé en mémoire PHP même lorsqu’un visiteur visite le site, ce qui cela est inutile.

    Pourquoi relayer des tels articles qui sélectionnent des plugins de manière arbitraire sans dévoiler justement leur recette (ou critère de choix) ?

  8. Alex

    @Fabrice Autant pour moi, j’étais resté sur la version de départ.

    @Luciole135 Le choix est basé sur ce que cela apporte aux utilisateurs. Concrètement tant qu’un plugin fait ce qu’on lui demande et qu’il ne perturbe pas la navigation sur le site ça me va. C’est comme si tu faisais une révision complète d’une voiture qu’un ami te prête ^^

    Si tu trouves que ce plugin est améliorable, tu peux y contribuer sur Github : https://github.com/ruhanirabin/WP-Optimize

  9. Alex

    @Luciole135 Je n’ai pas validé le commentaire car il s’agissait du même qu’ici. Nous pouvons échanger ici, cela ne me dérange pas 🙂

Les commentaires sont fermés