Des failles de sécurité évidentes
En quoi ces failles représentaient un réel risque ?
Doit-on obligatoirement installer la mise à jour WordPress ?
Nos recommandations
L’équipe de développement de WordPress a mis à jour son CMS : nous en sommes maintenant à la version 4.5.3. Avec cette mise à jour, l’équipe a semble-t-il corrigé des failles importantes de sécurité qui existaient sur les versions précédentes.
Des failles de sécurité évidentes
En effet, les versions 4.5.2 et précédentes présentaient un certain nombre de problèmes connus, en particulier :
- Deux problèmes XSS différents via le nom des fichiers joints.
- La divulgation des informations de l’historique des révisions.
- Un déni de service de oEmbed.
- La suppression non autorisée d’une catégorie depuis un article.
- Le changement de mot de passe par le vol de cookie.
- Quelques cas de sanitize_file_name moins sécurisés.
- Le contournement de la redirection dans le personnaliseur de thèmes.
Ces problèmes ont été découverts par des entreprises et des particuliers ayant communiqué leurs résultats à l’équipe du CMS qui a tout mis en œuvre pour les résoudre rapidement. En outre, la mise à jour corrige 17 bugs présents sur les versions précédentes.
En quoi ces failles représentaient un réel risque ?
A cause de ces failles de sécurité, des pirates pouvaient pénétrer dans votre CMS et y récupérer des informations ainsi qu’agir clairement sur la construction et les contenus de votre site. Ceci pouvait avoir une influence sur tous les aspects de votre site dont le référencement. De plus, un hacker pouvait tout simplement détruire une bonne partie de votre travail (ou même l’entièreté de celui-ci) s’il exploitait ces problèmes.
Doit-on obligatoirement installer la mise à jour WordPress ?
Il est préférable de l’installer si vous tenez à la sécurité de votre site internet. Cependant vous devez avoir le réflexe de vérifier à chaque mise à jour sur les sites de sécurité si de nouvelles failles ont été découvertes. En conséquence, vous pourrez peser le pour et le contre et agir selon ce que vous pensez être le mieux. Soyez assurés cependant que les mises à jour corrigent des erreurs et failles passées, vous n’aurez donc normalement plus les problèmes trouvés précédemment.
Nos recommandations
Avant toute mise à jour importante de WordPress sur votre site, pensez à réaliser une sauvegarde de votre base de données (ou assurez-vous au préalable que votre hébergeur réalise une sauvegarde régulière de vos tables). Mieux encore, faîtes une copie de votre site sur un serveur préprod et testez la mise à jour sur cette version, en particulier les éventuelles interférences avec les plugins installés sur votre site. Cela vous permettra, le cas échéant, de corriger les bugs avant de passer le site en ligne.