L’Hebdo WordPress : TimThumb – BuddyPress – Types de Contenus Personnalisés

L’Hebdo WordPress : TimThumb – BuddyPress – Types de Contenus Personnalisés

Cofondateur et ancien Vice-Président de l'association WPFR Coorganisateur des WordCamps Paris jusqu'en 2016 et du WordCamp Europe 2017

Publié le - Catégories Astuces, Brèves, Développement, Extensions, Sécurité, Thèmes, WordPress

Cet hebdo est en grande partie consacré à la saga TimThumb qui a marqué cette semaine WordPress. Il reprend les éléments dont nous avons parlé sur les réseaux sociaux complété des actualités plus récentes.

Après cet « article post hebdo », l’hebdo lui-même reprend ses droits avec des liens tirés de l’actualité WordPress de la semaine écoulée… car, oui, TimThumb n’aura pas porté toute l’attention vers lui.

La saga TimThumb

Je reprends volontairement le titre de l’article de Matt sur le sujet. Il résume bien la situation. Depuis une semaine environ, une faille de sécurité fait la une de l’actualité WordPress. Nos page Facebook et compte Twitter se sont fait les échos de cette affaire de sécurité et du correctif apporté dans les mêmes temps… Les réseaux sociaux sont très pratiques pour ce genre de communication de crise.

Mais il est bon de rappeler que cette faille de sécurité, si elle est bien réelle, n’est absolument pas une faille de WordPress. La nuance est importante.

En effet, WordPress n’est en aucun cas responsable de la faille et n’en est pas même affecté à proprement parlé. Cette faille a été découverte au sein d’un script qui se trouve être utilisé par de très nombreux thèmes WordPress et notamment des Premium : Timthumb, qui permet le redimensionnement des images. Là où le bât blesse, c’est que ce script largement utilisé donc, ne peux pas toujours être mis à jour facilement car il ne s’agit pas forcément d’une extension, mais il est souvent directement intégré dans le thème. Il est bien connu que même lorsqu’un éditeur de thème propose une mise à jour, l’utilisateur hésite à la mettre en place du fait des modifications apportées à sa propre installation. C’est ce que dit Matt :

Because the code is commonly embedded in themes it’s not easy to discretely update like it would be if the code were a plugin, and even when a theme is updated people are hesitant to update because they often customize theme code rather than making child themes, so if they were to overwrite their theme with a new version they’d lose their modifications. That, combined with the severity of the flaw, means that this is one of the more serious issues in the WordPress ecosystem in a while, even more than normal because it wasn’t in core.

Traduction :

Parce que le code est souvent intégré au thème, il n’est pas toujours facile de le mettre à jour comme on le ferait s’il s’agissait d’une extension, et même lorsque le thème serait mis à jour (ndlr : par son auteur), les utilisateurs seraient hésitant à mettre à jour parce qu’ils ont souvent personnalisé le code du thème directement plutôt que d’avoir créé un thème enfant, donc s’ils écrasent leur thème pour mettre à jour, ils écraseront leurs modifications. Ceci, combiné à la gravité de la faille, signifie que nous avons affaire à l’un des plus importants problèmes que l’écosystème de WordPress ait connu, même plus que d’ordinaire, puisque ce n’est pas le cœur de WordPress.

Notons que la solution existe !

Si vous avez ce script présent dans votre thème, vous devriez avoir un fichier nommé timthumb.php ou bien encore thumb.php. Il vous suffit alors de l’ouvrir dans votre éditeur de texte préféré et de remplacer le code par celui présent sur la page officiel du projet : http://timthumb.googlecode.com/svn/trunk/timthumb.php, puis vous enregistrez vos modifications et remettez le fichier à sa place dans votre thème.

La communauté a réagit tout de suite

D’une part, les thèmes du répertoire officiel sont analysés un à un pour être corrigé le cas échéant, les blogs des diverses communautés parlent du problème ouvertement.

D’autre part, Mark Maunder qui a découvert la faille a réalisé une mise à jour sous forme d’un fork qui est depuis, devenu la version 2.0 du script TimThumb suite à une collaboration avec l’auteur du script. Une prouesse de l’open source !

Avec WordPress, faites ce que vous voulez !

On ne le répétera jamais assez, WordPress n’est plus qu’un simple outil de blog, il est un vrai CMS, comme nous le (ré)explique Didier, notre cher Wolforg !

Un contenu personnalisé pour chaque visiteur

C’est ce que propose la nouvelle extension Personyze dont m’a fait part Danny Hen par e-mail cette semaine. Une extension qui permet d’enrichir l’expérience utilisateur très facilement et de manière puissante.

Comparer Joomla!, WordPress et Drupal selon les besoins

Voici un énième tableau comparant les 3 principaux CMS du moment, à savoir WordPress, Joomla! et Drupal. La comparaison se fait par besoin. Instructif.

Utiliser les Types de Contenu Personnalisés avec la Boucle

WPEngineer montre comment utiliser les fameux CPT avec la non moins fameuse Boucle de WordPress. Suivez le guide.

WordPress pour Windows Phone 7

Cela faisait quelques semaines que je ne vous avais pas parlé de version mobile de WordPress. Cette semaine, voici une nouvelle version de WordPress pour Windows Phone 7 qui voit le jour. Il s’agit de l’opus numéroté 1.2.

BuddyPress 1.5 Beta 2

Le développement de BuddyPress est reparti de plus belle avec une 2e beta en 2 semaines pour la future version 1.5.

Migrer un forum PHPbb vers bbPress

Vous disposez d’un forum PHPbb et vous souhaitez le migrer vers une installation de forum tournant sous la dernière version de bbPress, WPMU.org vous dit comment le faire.

Organiser les Types de contenus personnalisés

Si vous avez décidé d’utiliser les Custom Post Types de façon intensive, il vous faudra surement mettre de l’ordre dans votre installation. Voici comment classer votre CPT sous formes de dossiers. C’est Grégoire Noyelle qui en parle avec l’exemple de la mise en place d’une FAQ.

La gestion des miniatures en natif dans WordPress, comment ça marche ?

Aurélien Denis propose de récapituler comment gérer les miniatures dans WordPress… et sans TimThumb !

Générer une miniature d’un site

Vous voulez générer la miniature d’un site duquel vous indiquez une URL par exemple… voici comment faire ceci, expliqué par Valentin de Geekeries.

Les secrets de functions.php

Lumière de Lune nous délivre ici quelques secrets sur le célèbre fichier functions.php des thèmes WordPress. Cela devrait en intéresser plus d’un.


 

13 commentaires

  4. Ozh

    Je commente rarement mais je lis toujours et je tiens à féliciter l’équipe/Benoît pour tout ces hebdos. Très appréciable, surtout quand on rentre de vacances et qu’on a raté pas mal d’actu WP 🙂

  6. Attention ! Faille de sécurité via timthumb.php sur les blogs Wordpress | Socializ - Blog sur le Community Management, Stratégie réseaux sociaux et Marketing Alternatif - Dijon

    […] Il s’agit en fait d’une faille de sécurité présente dans le fichier timthumb.php de certains thèmes et plugins. A priori, c’est même une grande majorité des thèmes qui utilisent ce script… L’affaire fait grand bruit depuis une semaine mais ce n’est pas le CMS WordPress qui est responsable… […]

  10. pixenjoy

    Bonjour,

    Savez-vous si la version Timthumb 2.0 fonctionne également avec WP Multisite ?

    Ce n’était pas le cas avec la précédente version et il fallait bidouiller le code pour réecrire les URL afin que cela fonctionne correctement sur WP Multisite.

  12. WordPress Francophone : L’Hebdo WordPress : TimThumb – BuddyPress – Types de Contenus Personnalisés | Wordpress | Scoop.it

    […] WordPress Francophone : L’Hebdo WordPress : TimThumb – BuddyPress – Types de Cont… Cet hebdo est en grande partie consacré à la saga TimThumb qui a marqué cette semaine WordPress. Il reprend les éléments dont nous avons parlé sur les réseaux sociaux complété des actualités plus récentes. Source: http://www.wordpress-fr.net […]

Les commentaires sont fermés