Et encore une nouvelle version pour WordPress !
Après une version 2.8.2 et 2.8.3 corrigeant des problèmes de sécurité dans la console d’administration, l’équipe de développeur a découvert une vulnérabilité assez gênante… (et non une faille)
En effet en jouant avec les paramètres de la page de connexion, il est possible pour un hackeur de forcer l’envoi de l’email de la fonctionnalité “mot de passe oublié ?”, et d’en générer un nouveau de ce fait.
Cela ne veut pas dire que le hackeur obtient le mot de passe, en fait le mot de passe est uniquement envoyé à l’adresse e-mail du compte visé. Bien entendu, le compte “admin” est le plus touché par ce problème… car c’est le compte par défaut!
Ici nous avons affaire à un bug gênant, mais pas réellement dangereux en soi…
Le problème a été corrigé et testé dans la nuit, n’attendez pas pour mettre à jour votre version de WordPress. J’ajouterai une recommandation concernant la sécurité de votre blog, créer vous un deuxième compte administrateur et supprimer le compte “admin” par défaut… C’est celui-là qui est généralement utilisé par les hackeurs 🙂
La version française est d’ores et déjà disponible !
Pour ma part, j’ai eu un grand coup de flip hier, car j’ai reçu des nouveaux mots de passe pour plusieurs de mes blogs, mais aussi des blogs assez connus de la blogosphère française que j’administre ponctuellement… Pour le coup j’ai changé tous mes mots de passe d’emails, de blogs, et j’ai aussi supprimé tous mes comptes “admin”.
Quel soulagement cette vulnérabilité ! 🙂
piouPiouM
Dans le cas de cette vulnérabilité, supprimer le compte admin n’aurait rien changé si ton compte alternatif ayant les droits d’aministration était le deuxième créé.
En effet, le mot de passe est regénéré pour le premier compte utilisateur trouvé n’ayant aucune demande de réinitialisation de mot de passe en attente.
Amaury auteur de l’article
Après lecture du changeset, c’est exact 🙂
Cela dit ma recommandation pour le compte utilisateur vaut quand même 😉
William
Merci Amaury de nous avoir fait passé l’info et de tes conseils d’utilisation. Je viens de faire la mise à jour en automatique après avoir fait une sauvegarde de la base.
Bonne journée
Jay
Merci pour ces info Amaury.
Est ce qu’il ne serait pas envisageable (je sais tout est possible) de changer l’emplacement comme le fichier conf ?
Je pense que ca doit être le fichier le plus recherché pour attaque la bdd non?
Allez, je vais me lancer dans les MAJ de mes blogs 😉
Migration vers WordPress 2.8.4 réalisée! | PcHelp Tél:06 63 55 66 14
[…] Mise à jour de sécurité! […]
Phoenix
J’ai eu le même problème hier après midi, j’ai cru que mon blog allait y passer.
Annie
mais on nous donne automatiquement admin (ce que j’ai toujours trouvé nul trop facile pour n’importe qui de trouver cette identité) et maintenant si j’ai bien compris mais vraiment j’en suis pas sûre il faudrait le supprimer ? mais je croyais que c’était impossible justement, merci de me confirmer avant que je me lance dans des trucs………bof bof bof
Amaury
Pour supprimer le compte admin.
1. Créer un nouveau compte avec le rôle admin
2. Se reconnecter avec le nouveau compte
3. Effacer le compte en attribuant l’ancien contenu au nouvel utilisateur 🙂
Et le tour est joué 🙂
Annie
merci Amaury
Annie
ça marche !
Maître Mô
Merci Amaury, pas de vacances pour les braves..!
Sans vouloir trop exiger, y aurait-il un lien de téléchargement pour les seuls fichiers modifiés, je suppose qu’il n’y en a pas dix-mille, et ça m’éviterait de devoir réintégrer toutes mes modifs persos à la nouvelle version..?
Amaury auteur de l’article
Maitre Mo > Va falloir m’éditer à faire les modifications via des plugins 🙂
Les différences :
http://core.trac.wordpress.org/changeset?old_path=%2Ftags%2F2.8.3&old=11806&new_path=%2Ftags%2F2.8.4&new=11806
Il y a un lien “Archive ZIP” en bas de la page !
Thibault
Merci pour l’info.
Mise à jour auto effectuée 🙂
Guy DOYEN
La mise à jour a été longue.
—
Téléchargement de la mise à jour depuis http://fr.wordpress.org/wordpress-2.8.4-fr_FR.zip.
Décompression de la mise à jour.
Vérification des fichiers décompressés
Installation de la dernière version
Mise à jour de la base de données
—-
La mise à jour à l’air d’avoir échouée…
Guy DOYEN
WordPress a bien géré le problème, l’interface admin est de nouveau accessible avec le message :
“Une mise à jour automatique de WordPress a échoué en cours de route ; vous pouvez tenter de la relancer”.
clara
Merci beaucoup, c’est vrai que cela pourrait être génant.
Lise
J’ai fait un article détaillant la manip qu’Amaury indique pour créer un nouveau compte d’admin, pour en rassurer certains 😉
http://liseweb.o2switch.net/BLOG_LISE/changer-le-nom-dadministrateur-du-blog
Désolée pour cette adresse provisoire, mais mon blog est toujours blacklisté par Google bien qu’il ait été “désinfecté” et mis à jour…
Mes favoris du 12-08-09
[…] Sortie de WordPress 2.8.4 ! Mise à jour de sécurité ! | WordPress Francophone – […]
Labaidai
Ca commence à devenir un peu lourd, toutes ces mises-à-jours qui se suivent de si près, on a presque l’impression d’être devant avec le pantalon baissé…
Certains de mes blogs étant chez des hébergeurs de merde (ovh pour ne pas le citer) je suis obligé de faire les mises-à-jour à la main, et c’est bien long et chiant !
Je crois que je vais m’acheter un mini-pc à la maison qui servira de serveur, pour enfin quitter le minitel 2.0 et entrer dans l’internet !
Maître Mô
Merci pour le lien, Amaury, bien utile quand-même : seulement deux fichiers modifiés par cette version, en fait, ça gagne du temps..!!!!
Amaury
Labaidai > Ne prend que les fichiers modifiés, c’est juste 1000 fois plus rapide 🙂
Ensuite, y’a forcément certains avantages et certains inconvénients dans l’opensource… Ce bug représente le coté pas de bol 🙂
Labaidai
Oui c’est ce que je vais faire, une fois que je saurais lesquels je dois remplacer.
Et pour l’opensource, je me dis que heureusement que WordPress est Opensource parce que sinon ces problèmes seraient vite exploités et lentement corrigés.
Je râle parce que ces mises-à-jour se suivent de trop près, mais dans le fond je préfère ça que pas de mise-à-jour du tout. C’est mon côté râleur 😀
Yoda
J’ai aussi eu la surprise de me retrouver avec mon mot de passe réinitialisé bien que je n’utilise pas le compte « admin » (il était déjà supprimé, j’utilisais un autre compte avec les droits admin).
Et à mon avis vous pouvez déjà vous attendre à une version 2.8.5, je viens de m’apercevoir qu’un gars a réussi à laisser un commentaire sans même que je n’ai eu besoin de l’approuver.
Dans mes options de discussion j’ai bien «L’auteur d’un commentaire doit avoir déjà publié un commentaire approuvé» de coché, et «Un administrateur doit toujours approuver le commentaire» de décoché, mais après recherche dans les commentaires et les logs je m’aperçois que c’est le premier commentaire qu’il dépose avec ce pseudo et adresse mail.
Irène Delse » Le blougue est de retour
[…] les bonnes vieilles habitudes. J’en profite pour installer la mise à jour de sécurité WordPress 2.8.4 disponible aussi en VF, que demande le peuple) et changer un peu le fond de teint – pardon, […]
2.8.4 | Lise Capitan - Traductions
[…] principale semble régler des soucis de sécurité, comme c’est expliqué ici. C’est donc tout bénéf pour moi, mais ça vous assure aussi que mon blog n’est pas […]
François
Zut !
J’ai deux problèmes majeurs depuis que j’ai cliqué le bouton « Mettre à jour automatiquement » pour passer de 2.8 à 2.8.4 :
1. Les caractères accentués apparaissent désormais comme des points d’interrogation sur fond noir (�). Pourquoi ?
2. Je n’ai plus accès à ma zone Administrateur (« Vous n’avez pas les droits suffisants pour accéder à cette page »). Pourquoi ?
C’est la première fois que la fonctionnalité de mise à jour automatique me donne autant de problèmes. Quelqu’un a des idées pour corriger cela ? Je dois retrouver le contrôle de mon blogue !!
Mille merci. 😉
FLR
François
Note de suivi…
Évidemment, j’ai une sauvegarde de ma base SQL (version de mon blogue sous 2.8), mais je ne sais pas comment la restaurer. 😐
kem08
salut j’ai crée un second compte administrateur avec un identifiant compliqué mais avant de supprimer mon compte admin il faut que j’attribue les 500 article du blog à mon nveau compte admin.
Comment faire, je trouve aps la commande..
Amaury
Quand on supprime l’utilisateur, WordPress propose d’effacer les articles ou les lier à un autre utilisateur.
Engelmajer-Rivera
mon blog s’est “désarmorcé” et je ne peux joindre la personne qui l’a créé? Que puis-je faire pour le remettre en route? c’est important pour moi, merci de m’aider!
Cordialement
Lyliane Engelmajer-Rivera
Engelmajer-Rivera
Petite information supplémentaire : je ne comprends rien au langage informatique; dans la réponse soyez s’il vous plaît le plus clair possible.
Merci
anneclaire
J’ai un bug avec la version 2.8.4 en français : impossible de créer des tags (bouton inactif), suis-je la seule ?
merci 🙂
pyer
Bon j’ai compris je vais attendre un peu pour la MAJ …!
Merci
Alex13
Images will display in the post, for example, while MP3s and videos are playable directly in the page. ,
Sam
J’ai des soucis avec cette MAJ :
– Impossible de créer les tags
– Impossible d’insérer images
Red81
El Nino and the next solar cycle kick in, global temperature will be above the trend line. ,
Mon blog Piraté à cause du Mondial South Africa 2010 | Clapico's Blog
[…] lisant sur le blog du WordPress francophone ce qui s’était écrit sur la nouvelle mise à jour de sécurité publiée aujourd’hui, […]