WordPress : mise à jour de sécurité très importante
Qualifiée de critique par le créateur du CMS, qui invite à l'appliquer sur-le-champs

Le , par Gordon Fowler, Expert éminent sénior
Mise à jour du 30/12/10

WordPress, le moteur de blog en PHP qui se transforme de plus en plus en CMS ultra-complet, doit être mis à jour rapidement.

C'est en tout cas le message que donne de son équipe de développement qui vient de sortir, en pleine période de fête, une mise à jour de sécurité qualifiée de « importante ».

La période, très calme et où beaucoup de responsables web sont en vacances, n'est pas propice à ce genre de patch. Matt Mullenweg, le créateur de WordPress, en a bien conscience. Mais l'importance des vulnérabilités à corriger justifie, d'après lui, une telle date de sortie.

« C'est une mise à jour très importante*», écrit-il, « elle colmate un bug de sécurité centrale dans notre librairie HTML, nommée KSES (a core security bug in our HTML sanitation library). Je qualifierais ce correctif de “critique.” ».

Matt Mullenweg semble très préoccupé. Il n'est visiblement pas sûr que le patch ait résolu tous les problèmes posés et lance un appel aux bonnes volontés pour continuer d'analyser le problème*: « vu qu'il s'agit d'un problème fondamental, nous avons besoin d'autant de cerveaux que possible ».

La mise à jour est disponible directement depuis le tableau de bord de WordPress ou sur cette page.

A installer dès que faire se peut donc.

Source


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de FailMan FailMan - Membre expert https://www.developpez.com
le 30/12/2010 à 15:12
J'ai appliqué la mise à jour très rapidement, j'étais d'ailleurs étonné car la 3.0.3 était en place depuis quelques jours seulement si je me trompe pas.

En tout cas, WordPress reste toujours un très bon moteur de blog et j'ai lâché DotClear sans aucun regret.
Avatar de grunk grunk - Modérateur https://www.developpez.com
le 30/12/2010 à 15:24
Citation Envoyé par JohnPetrucci Voir le message
J'ai appliqué la mise à jour très rapidement, j'étais d'ailleurs étonné car la 3.0.3 était en place depuis quelques jours seulement si je me trompe pas.
C'est parce que la faille à été introduite avec la 3.0.3 me semble t'il : http://www.exploit-db.com/exploits/15858/
Avatar de FailMan FailMan - Membre expert https://www.developpez.com
le 31/12/2010 à 9:49
A noter que la version 3.0.4 possède également une faille de même type, qui n'est toujours pas corrigée.

Une mise à jour devrait pas tarder à être publiée.
Avatar de FraK FraK - Membre éprouvé https://www.developpez.com
le 11/02/2011 à 10:02
WordPress 3.0.5

5e édition de la version 3.0 de WP.
L’annonce officielle mentionne ces modifications :

■correction de deux failles de moyenne importance, qui auraient permis à un utilisateur avec un rôle Auteur ou Contributeur d’élargir ses droits ;
■correction d’un problème de diffusion d’informations, qui auraient permis à un Auteur d’avoir accès à des contenus qui ne lui étaient pas réservés ;
■deux améliorations de la sécurité : l’une au niveau des extensions, l’autre améliorant les défenses déjà mises en place avec la 3.0.4.

Comme d’habitude, il est très fortement recommandé de mettre à jour tous vos sites. Les alertes de mises à jour sont normalement déjà visibles, même pour la VF.

En ce qui concerne la 3.1, une version RC4 est sortie également.
Avatar de FraK FraK - Membre éprouvé https://www.developpez.com
le 27/10/2011 à 13:56
Petite mise à jour nécessaire depuis la v3.0.5

La version Beta 2 de WordPress 3.3 est sortie.

Changement depuis la 1ère version beta :

  • Mise à jour du thème Bleu de l’admin
  • Réparation du support d’IE7 et de la technologie RTL
  • Amélioration du style du menu de l’admin
  • Intégration des pointeurs
  • Mise en place d’un texte de bienvenue sur le tableau de bord lors des nouvelles installations
  • Amélioration du style de l’aide contextuel
  • Modifications mineures de la barre d’administration
  • Corrections diverses de bugs


RAPPEL : Wordpress 3.3

  • Accessibilité, CSS3 et HTML5

WordPress 3.3 est désormais en HTML5 et supporte les requêtes de médias “media queries” CSS3. Son interface d’administration est ainsi plus accessible pour les différents types de formats d’écran. Il minimise les modules dans l’éditeur d’articles ainsi que la barre de navigation verticale.

  • Nouvelle ergonomie

WordPress 3.3 intègre quelques changements en terme d’ergonomie et de styles graphiques. En effet, en terme d’ergonomie on remarque que les menus sont maintenant plus accessible via un simple survol. Pour activer le menu au complet, il faut être dans la page correspondante. On y gagne en lisibilité et en espace.

  • Amélioration des performances liées aux permaliens

WordPress 3.3 intègre désormais un permaliens par défaut optimise et garanti de meilleurs performances. Également idéale pour le référencement, ce nouveau paramètre est présenté dans les options “Permaliens” de votre blog et affiche ainsi le titre de l’article à la place des paramètres définis.

  • Amélioration de l’envoi de médias

WordPress 3.3 intègre désormais une merveilleuse amélioration de l’envoi de médias. Lorsqu’on ajoute une image on y découvre alors la possibilité d’en envoyer une dizaine (ou plus) d’images via un simple glisser-déposer. L’envoi et le chargement se fait assez rapidement et il est possible de modifier leurs descriptions, une par une. Accessible depuis l’envoi de la bibliothèque ou directement lors de la rédaction d’un article.

  • Amélioration de l’Admin Bar

WordPress 3.3 améliore les performances de l’Admin Bar ainsi que son apparence. On y découvre également la nouvelle fonctionnalité des “pointeurs” qui permet d’afficher un message de bienvenue sur une partie précise du panel d’administration de WordPress.

  • Les pointeurs

WordPress 3.3 intègre avec elle une nouvelle fonctionnalité de mise en avant des sections. Les pointeurs permettent d’afficher un message sur une partie précise du panel d’administration de WordPress. On peut y intégrer n’importe quel contenu et ainsi aider par exemple nos clients à mieux utilisation les parties de l’administration et pour les développeurs à présenter rapidement l’extension ou le thème activé.
Avatar de FraK FraK - Membre éprouvé https://www.developpez.com
le 06/06/2012 à 10:09
WordPress 3.4 est prêt pour les beta testeurs !

Comme il s’agit d’une version de développement, il n’est pas recommandé de l’installer pour un site en production
Créez-vous un site de test si vous voulez jouer avec les nouvelles fonctionnalités.

Si vous cassez quelques choses (en découvrant un bug), n’hésitez pas à le rapporter et si vous êtes en plus un développeur, alors essayer d'aider à la correction.

Si vous voulez être un beta testeur, vous pouvez visiter la page du Codex « comment rapporter un problème ».

Quelques unes des nouveautés de cette version :

    Personnalisation des thèmes avec aperçu

    Taille de l’entête personnalisable

    Sélection d’un entête personnalisé et d’une image d’arrière plan depuis la bibliothèque de média

    Meilleure expérience pour la recherche et le choix d’un nouveau thème


Et quelques changements de « derrière les fagots » à découvrir :
    Nouvelle API XML-RPC pour les applications tierces et mobiles

    Nouvelle API pour faire en sorte que les thèmes supportent les entêtes et images d’arrière plan personnalisés

    Amélioration des performances de WP_Query en divisant les requêtes (A TESTER !)

    Amélioration de l’internationalisation (Amélioration des performances et du support local)

    Amélioration des performances et de l’API pour travailler avec les listes des thèmes installés

    Support pour installer des thèmes enfants depuis le répertoire des thèmes de WordPress
Avatar de stealth35 stealth35 - Expert éminent sénior https://www.developpez.com
le 06/06/2012 à 11:21
Toujours les vielles classes PHP 4, je pense qu'il est temps de casser la compatibilité, et mettre tout ça au gout du jour
Avatar de FraK FraK - Membre éprouvé https://www.developpez.com
le 06/06/2012 à 14:10
Cela arrivera peut être pour la 4.0, mais pour le moment cela n'a pas l'air d'être à l'ordre du jour
Avatar de FraK FraK - Membre éprouvé https://www.developpez.com
le 14/06/2012 à 14:37
Wordpress 3.4, dit Wordpress Green, est enfin disponible

pour plus d'infos : cf le billet de Wordpress Francophone : lien

un petit résumé sur le codex (mis à jour) :lien

et un petit guide pour développeurs : lien
Contacter le responsable de la rubrique Accueil