WordPress : mise à jour de sécurité très importante
Qualifiée de critique par le créateur du CMS, qui invite à l'appliquer sur-le-champs
Le 2010-12-30 12:53:35, par Gordon Fowler, Expert éminent sénior
Mise à jour du 30/12/10
WordPress, le moteur de blog en PHP qui se transforme de plus en plus en CMS ultra-complet, doit être mis à jour rapidement.
C'est en tout cas le message que donne de son équipe de développement qui vient de sortir, en pleine période de fête, une mise à jour de sécurité qualifiée de « importante ».
La période, très calme et où beaucoup de responsables web sont en vacances, n'est pas propice à ce genre de patch. Matt Mullenweg, le créateur de WordPress, en a bien conscience. Mais l'importance des vulnérabilités à corriger justifie, d'après lui, une telle date de sortie.
« C'est une mise à jour très importante*», écrit-il, « elle colmate un bug de sécurité centrale dans notre librairie HTML, nommée KSES (a core security bug in our HTML sanitation library). Je qualifierais ce correctif de “critique.” ».
Matt Mullenweg semble très préoccupé. Il n'est visiblement pas sûr que le patch ait résolu tous les problèmes posés et lance un appel aux bonnes volontés pour continuer d'analyser le problème*: « vu qu'il s'agit d'un problème fondamental, nous avons besoin d'autant de cerveaux que possible ».
La mise à jour est disponible directement depuis le tableau de bord de WordPress ou sur cette page.
A installer dès que faire se peut donc.
Source
WordPress, le moteur de blog en PHP qui se transforme de plus en plus en CMS ultra-complet, doit être mis à jour rapidement.
C'est en tout cas le message que donne de son équipe de développement qui vient de sortir, en pleine période de fête, une mise à jour de sécurité qualifiée de « importante ».
La période, très calme et où beaucoup de responsables web sont en vacances, n'est pas propice à ce genre de patch. Matt Mullenweg, le créateur de WordPress, en a bien conscience. Mais l'importance des vulnérabilités à corriger justifie, d'après lui, une telle date de sortie.
« C'est une mise à jour très importante*», écrit-il, « elle colmate un bug de sécurité centrale dans notre librairie HTML, nommée KSES (a core security bug in our HTML sanitation library). Je qualifierais ce correctif de “critique.” ».
Matt Mullenweg semble très préoccupé. Il n'est visiblement pas sûr que le patch ait résolu tous les problèmes posés et lance un appel aux bonnes volontés pour continuer d'analyser le problème*: « vu qu'il s'agit d'un problème fondamental, nous avons besoin d'autant de cerveaux que possible ».
La mise à jour est disponible directement depuis le tableau de bord de WordPress ou sur cette page.
A installer dès que faire se peut donc.
Source
-
grunkModérateurC'est parce que la faille à été introduite avec la 3.0.3 me semble t'il : http://www.exploit-db.com/exploits/15858/le 30/12/2010 à 15:24
-
FailManMembre expertJ'ai appliqué la mise à jour très rapidement, j'étais d'ailleurs étonné car la 3.0.3 était en place depuis quelques jours seulement si je me trompe pas.
En tout cas, WordPress reste toujours un très bon moteur de blog et j'ai lâché DotClear sans aucun regret.le 30/12/2010 à 15:12 -
FailManMembre expertA noter que la version 3.0.4 possède également une faille de même type, qui n'est toujours pas corrigée.
Une mise à jour devrait pas tarder à être publiée.le 31/12/2010 à 9:49 -
FraKMembre éprouvéWordPress 3.0.5
5e édition de la version 3.0 de WP.
L’annonce officielle mentionne ces modifications :
■correction de deux failles de moyenne importance, qui auraient permis à un utilisateur avec un rôle Auteur ou Contributeur d’élargir ses droits ;
■correction d’un problème de diffusion d’informations, qui auraient permis à un Auteur d’avoir accès à des contenus qui ne lui étaient pas réservés ;
■deux améliorations de la sécurité : l’une au niveau des extensions, l’autre améliorant les défenses déjà mises en place avec la 3.0.4.
Comme d’habitude, il est très fortement recommandé de mettre à jour tous vos sites. Les alertes de mises à jour sont normalement déjà visibles, même pour la VF.
En ce qui concerne la 3.1, une version RC4 est sortie également.le 11/02/2011 à 10:02 -
FraKMembre éprouvéPetite mise à jour nécessaire depuis la v3.0.5
La version Beta 2 de WordPress 3.3 est sortie.
Changement depuis la 1ère version beta :- Mise à jour du thème Bleu de l’admin
- Réparation du support d’IE7 et de la technologie RTL
- Amélioration du style du menu de l’admin
- Intégration des pointeurs
- Mise en place d’un texte de bienvenue sur le tableau de bord lors des nouvelles installations
- Amélioration du style de l’aide contextuel
- Modifications mineures de la barre d’administration
- Corrections diverses de bugs
RAPPEL : Wordpress 3.3- Accessibilité, CSS3 et HTML5
WordPress 3.3 est désormais en HTML5 et supporte les requêtes de médias “media queries” CSS3. Son interface d’administration est ainsi plus accessible pour les différents types de formats d’écran. Il minimise les modules dans l’éditeur d’articles ainsi que la barre de navigation verticale.- Nouvelle ergonomie
WordPress 3.3 intègre quelques changements en terme d’ergonomie et de styles graphiques. En effet, en terme d’ergonomie on remarque que les menus sont maintenant plus accessible via un simple survol. Pour activer le menu au complet, il faut être dans la page correspondante. On y gagne en lisibilité et en espace.- Amélioration des performances liées aux permaliens
WordPress 3.3 intègre désormais un permaliens par défaut optimise et garanti de meilleurs performances. Également idéale pour le référencement, ce nouveau paramètre est présenté dans les options “Permaliens” de votre blog et affiche ainsi le titre de l’article à la place des paramètres définis.- Amélioration de l’envoi de médias
WordPress 3.3 intègre désormais une merveilleuse amélioration de l’envoi de médias. Lorsqu’on ajoute une image on y découvre alors la possibilité d’en envoyer une dizaine (ou plus) d’images via un simple glisser-déposer. L’envoi et le chargement se fait assez rapidement et il est possible de modifier leurs descriptions, une par une. Accessible depuis l’envoi de la bibliothèque ou directement lors de la rédaction d’un article.- Amélioration de l’Admin Bar
WordPress 3.3 améliore les performances de l’Admin Bar ainsi que son apparence. On y découvre également la nouvelle fonctionnalité des “pointeurs” qui permet d’afficher un message de bienvenue sur une partie précise du panel d’administration de WordPress.- Les pointeurs
WordPress 3.3 intègre avec elle une nouvelle fonctionnalité de mise en avant des sections. Les pointeurs permettent d’afficher un message sur une partie précise du panel d’administration de WordPress. On peut y intégrer n’importe quel contenu et ainsi aider par exemple nos clients à mieux utilisation les parties de l’administration et pour les développeurs à présenter rapidement l’extension ou le thème activé.le 27/10/2011 à 13:56 -
FraKMembre éprouvéWordPress 3.4 est prêt pour les beta testeurs !
Comme il s’agit d’une version de développement, il n’est pas recommandé de l’installer pour un site en production
Créez-vous un site de test si vous voulez jouer avec les nouvelles fonctionnalités.
Si vous cassez quelques choses (en découvrant un bug), n’hésitez pas à le rapporter et si vous êtes en plus un développeur, alors essayer d'aider à la correction.
Si vous voulez être un beta testeur, vous pouvez visiter la page du Codex « comment rapporter un problème ».
Quelques unes des nouveautés de cette version :- Personnalisation des thèmes avec aperçu
- Taille de l’entête personnalisable
- Sélection d’un entête personnalisé et d’une image d’arrière plan depuis la bibliothèque de média
- Meilleure expérience pour la recherche et le choix d’un nouveau thème
Et quelques changements de « derrière les fagots » à découvrir :
- Nouvelle API XML-RPC pour les applications tierces et mobiles
- Nouvelle API pour faire en sorte que les thèmes supportent les entêtes et images d’arrière plan personnalisés
- Amélioration des performances de WP_Query en divisant les requêtes (A TESTER !)
- Amélioration de l’internationalisation (Amélioration des performances et du support local)
- Amélioration des performances et de l’API pour travailler avec les listes des thèmes installés
- Support pour installer des thèmes enfants depuis le répertoire des thèmes de WordPress
le 06/06/2012 à 10:09 -
stealth35Expert éminent séniorToujours les vielles classes PHP 4, je pense qu'il est temps de casser la compatibilité, et mettre tout ça au gout du jourle 06/06/2012 à 11:21
-
FraKMembre éprouvéCela arrivera peut être pour la 4.0, mais pour le moment cela n'a pas l'air d'être à l'ordre du jourle 06/06/2012 à 14:10
-
FraKMembre éprouvéWordpress 3.4, dit Wordpress Green, est enfin disponible
pour plus d'infos : cf le billet de Wordpress Francophone : lien
un petit résumé sur le codex (mis à jour) :lien
et un petit guide pour développeurs : lienle 14/06/2012 à 14:37