WordPress 3.0.4 a jour et ?

écrit par Aymeric

Hier, une faille de sécurité "importante" de type XSS a été découverte pour la version 3.0.3 de WordPress par Jon Cave qui fait partie de la core team de WordPress.
Et là, panique à bord ! les mises à jours se font dans tous les sens parfois sans même trop savoir quelle partie du code de WordPress est concernée... (faites toujours des sauvegardes et dump avant une MAJ d'ailleurs)

La faille concernerait le rôle "Editeur" via le backend et les commentaires donc à vous de voir si vos éditeurs ou administrateurs sont de confiance et s'amuseraient à hacker leur "propre blog"... A priori, y'a pas de quoi s'affoler ! Mais malgré tout, pour les autres failles à venir (et il y en aura toujours forcément!), une petite modification de WordPress vous permettra de masquer des informations qui n'ont pas forcément lieu d'être et qui pourraient permettre à des "hackers du dimanche" (ceux qui ne font que des copier/coller qu'ils trouvent sur le web sans trop se demander ce qu'ils font ni comment ça marche) de compromettre votre blog: et si vous masquiez votre numéro de version WordPress ?

Par défaut, WordPress affiche à de nombreux endroits le numéro de version que vous utilisez, un internaute malveillant n'aura qu'a trouver les blogs mis en cause par une faille spécifique en cherchant le numéro de version de votre blog. Il pourra trouver ces infos dans le code source de vos pages avec le tag "meta generator" ( <meta name="generator" content="WordPress 3.0.4" /> ) mais aussi dans tous les flux XML de wordpress Ex: http://www.monblogwordpress.com/feed : <generator>http://wordpress.org/?v=3.0.4</generator>.

Vous pouvez utiliser des plugins comme head-cleaner qui s'en chargeront (du moins pour les pages HTML dans un premier temps me semble-t-il), la meilleure solution étant de ne pas rajouter de plugins pour surcharger wordpress et risquer d'autre failles! Pour cela il vous suffit d'éditer functions.php dans le répertoire /wp-content/themes/nomdutheme et d'ajouter la ligne suivante juste avant la fermeture de code PHP ?>

function complete_version_removal() {
return '';
}
add_filter('the_generator', 'complete_version_removal');

Source

La fonction Addfilter de WordPress permet de modifier le code à renvoyer au navigateur ou à la base de données, et donc dans notre cas de supprimer ce qui est généré par le hook "the_generator".

On pourra à terme mettre en place sur le serveur un cron qui ajoute le code ci-dessus si il n'est pas présent dans les fichiers functions.php de tous les thèmes pour ne pas avoir à les modifier à chaque mise à jour de WordPress.

En espérant avoir pu vous éclairer

Mots-clés: ,

écrit dans Wordpress par Aymeric | 2 commentaires

2 commentaires "WordPress 3.0.4 a jour et ?"

  • Benjamin dit:
    • Aymeric dit: