Sortie de WordPress 2.8.4 ! Mise à jour de sécurité !

Sortie de WordPress 2.8.4 ! Mise à jour de sécurité !

Et encore une nouvelle version pour WordPress !

Après une version 2.8.2 et 2.8.3 corrigeant des problèmes de sécurité dans la console d’administration, l’équipe de développeur a découvert une vulnérabilité assez gênante… (et non une faille)

En effet en jouant avec les paramètres de la page de connexion, il est possible pour un hackeur de forcer l’envoi de l’email de la fonctionnalité « mot de passe oublié ? », et d’en générer un nouveau de ce fait.

Cela ne veut pas dire que le hackeur obtient le mot de passe, en fait le mot de passe est uniquement envoyé à l’adresse e-mail du compte visé. Bien entendu, le compte « admin » est le plus touché par ce problème… car c’est le compte par défaut!

Ici nous avons affaire à un bug gênant, mais pas réellement dangereux en soi…

Le problème a été corrigé et testé dans la nuit, n’attendez pas pour mettre à jour votre version de WordPress. J’ajouterai une recommandation concernant la sécurité de votre blog, créer vous un deuxième compte administrateur et supprimer le compte « admin » par défaut… C’est celui-là qui est généralement utilisé par les hackeurs 🙂

La version française est d’ores et déjà disponible !

Pour ma part, j’ai eu un grand coup de flip hier, car j’ai reçu des nouveaux mots de passe pour plusieurs de mes blogs, mais aussi des blogs assez connus de la blogosphère française que j’administre ponctuellement… Pour le coup j’ai changé tous mes mots de passe d’emails, de blogs, et j’ai aussi supprimé tous mes comptes « admin ».

Quel soulagement cette vulnérabilité ! 🙂

37 commentaires

  1. piouPiouM

    Dans le cas de cette vulnérabilité, supprimer le compte admin n’aurait rien changé si ton compte alternatif ayant les droits d’aministration était le deuxième créé.

    En effet, le mot de passe est regénéré pour le premier compte utilisateur trouvé n’ayant aucune demande de réinitialisation de mot de passe en attente.

  2. William

    Merci Amaury de nous avoir fait passé l’info et de tes conseils d’utilisation. Je viens de faire la mise à jour en automatique après avoir fait une sauvegarde de la base.

    Bonne journée

  3. Jay

    Merci pour ces info Amaury.
    Est ce qu’il ne serait pas envisageable (je sais tout est possible) de changer l’emplacement comme le fichier conf ?
    Je pense que ca doit être le fichier le plus recherché pour attaque la bdd non?

    Allez, je vais me lancer dans les MAJ de mes blogs 😉

  4. Annie

    mais on nous donne automatiquement admin (ce que j’ai toujours trouvé nul trop facile pour n’importe qui de trouver cette identité) et maintenant si j’ai bien compris mais vraiment j’en suis pas sûre il faudrait le supprimer ? mais je croyais que c’était impossible justement, merci de me confirmer avant que je me lance dans des trucs………bof bof bof

  5. Amaury

    Pour supprimer le compte admin.

    1. Créer un nouveau compte avec le rôle admin
    2. Se reconnecter avec le nouveau compte
    3. Effacer le compte en attribuant l’ancien contenu au nouvel utilisateur 🙂

    Et le tour est joué 🙂

  6. Maître Mô

    Merci Amaury, pas de vacances pour les braves..!
    Sans vouloir trop exiger, y aurait-il un lien de téléchargement pour les seuls fichiers modifiés, je suppose qu’il n’y en a pas dix-mille, et ça m’éviterait de devoir réintégrer toutes mes modifs persos à la nouvelle version..?

  7. Guy DOYEN

    WordPress a bien géré le problème, l’interface admin est de nouveau accessible avec le message :

    « Une mise à jour automatique de WordPress a échoué en cours de route ; vous pouvez tenter de la relancer ».

  8. Labaidai

    Ca commence à devenir un peu lourd, toutes ces mises-à-jours qui se suivent de si près, on a presque l’impression d’être devant avec le pantalon baissé…

    Certains de mes blogs étant chez des hébergeurs de merde (ovh pour ne pas le citer) je suis obligé de faire les mises-à-jour à la main, et c’est bien long et chiant !

    Je crois que je vais m’acheter un mini-pc à la maison qui servira de serveur, pour enfin quitter le minitel 2.0 et entrer dans l’internet !

  9. Amaury

    Labaidai > Ne prend que les fichiers modifiés, c’est juste 1000 fois plus rapide 🙂

    Ensuite, y’a forcément certains avantages et certains inconvénients dans l’opensource… Ce bug représente le coté pas de bol 🙂

  10. Labaidai

    Oui c’est ce que je vais faire, une fois que je saurais lesquels je dois remplacer.

    Et pour l’opensource, je me dis que heureusement que WordPress est Opensource parce que sinon ces problèmes seraient vite exploités et lentement corrigés.

    Je râle parce que ces mises-à-jour se suivent de trop près, mais dans le fond je préfère ça que pas de mise-à-jour du tout. C’est mon côté râleur 😀

  11. Yoda

    J’ai aussi eu la surprise de me retrouver avec mon mot de passe réinitialisé bien que je n’utilise pas le compte « admin » (il était déjà supprimé, j’utilisais un autre compte avec les droits admin).

    Et à mon avis vous pouvez déjà vous attendre à une version 2.8.5, je viens de m’apercevoir qu’un gars a réussi à laisser un commentaire sans même que je n’ai eu besoin de l’approuver.

    Dans mes options de discussion j’ai bien «L’auteur d’un commentaire doit avoir déjà publié un commentaire approuvé» de coché, et «Un administrateur doit toujours approuver le commentaire» de décoché, mais après recherche dans les commentaires et les logs je m’aperçois que c’est le premier commentaire qu’il dépose avec ce pseudo et adresse mail.

  12. François

    Zut !
    J’ai deux problèmes majeurs depuis que j’ai cliqué le bouton « Mettre à jour automatiquement » pour passer de 2.8 à 2.8.4 :

    1. Les caractères accentués apparaissent désormais comme des points d’interrogation sur fond noir (�). Pourquoi ?

    2. Je n’ai plus accès à ma zone Administrateur (« Vous n’avez pas les droits suffisants pour accéder à cette page »). Pourquoi ?

    C’est la première fois que la fonctionnalité de mise à jour automatique me donne autant de problèmes. Quelqu’un a des idées pour corriger cela ? Je dois retrouver le contrôle de mon blogue !!

    Mille merci. 😉
    FLR

  13. kem08

    salut j’ai crée un second compte administrateur avec un identifiant compliqué mais avant de supprimer mon compte admin il faut que j’attribue les 500 article du blog à mon nveau compte admin.
    Comment faire, je trouve aps la commande..

  14. Engelmajer-Rivera

    mon blog s’est « désarmorcé » et je ne peux joindre la personne qui l’a créé? Que puis-je faire pour le remettre en route? c’est important pour moi, merci de m’aider!
    Cordialement
    Lyliane Engelmajer-Rivera

Les commentaires sont fermés