2

WordPress 3.0.4 a jour et ?

Hier, une faille de sécurité "importante" de type XSS a été découverte pour la version 3.0.3 de WordPress par Jon Cave qui fait partie de la core team de WordPress.
Et là, panique à bord ! les mises à jours se font dans tous les sens parfois sans même trop savoir quelle partie du code de WordPress est concernée... (faites toujours des sauvegardes et dump avant une MAJ d'ailleurs)

La faille concernerait le rôle "Editeur" via le backend et les commentaires donc à vous de voir si vos éditeurs ou administrateurs sont de confiance et s'amuseraient à hacker leur "propre blog"... A priori, y'a pas de quoi s'affoler ! Mais malgré tout, pour les autres failles à venir (et il y en aura toujours forcément!), une petite modification de WordPress vous permettra de masquer des informations qui n'ont pas forcément lieu d'être et qui pourraient permettre à des "hackers du dimanche" (ceux qui ne font que des copier/coller qu'ils trouvent sur le web sans trop se demander ce qu'ils font ni comment ça marche) de compromettre votre blog: et si vous masquiez votre numéro de version WordPress ?

Par défaut, WordPress affiche à de nombreux endroits le numéro de version que vous utilisez, un internaute malveillant n'aura qu'a trouver les blogs mis en cause par une faille spécifique en cherchant le numéro de version de votre blog. Il pourra trouver ces infos dans le code source de vos pages avec le tag "meta generator" ( <meta name="generator" content="WordPress 3.0.4" /> ) mais aussi dans tous les flux XML de wordpress Ex: http://www.monblogwordpress.com/feed : <generator>http://wordpress.org/?v=3.0.4</generator>.

Vous pouvez utiliser des plugins comme head-cleaner qui s'en chargeront (du moins pour les pages HTML dans un premier temps me semble-t-il), la meilleure solution étant de ne pas rajouter de plugins pour surcharger wordpress et risquer d'autre failles! Pour cela il vous suffit d'éditer functions.php dans le répertoire /wp-content/themes/nomdutheme et d'ajouter la ligne suivante juste avant la fermeture de code PHP ?>

function complete_version_removal() {
return '';
}
add_filter('the_generator', 'complete_version_removal');

Source

La fonction Addfilter de WordPress permet de modifier le code à renvoyer au navigateur ou à la base de données, et donc dans notre cas de supprimer ce qui est généré par le hook "the_generator".

On pourra à terme mettre en place sur le serveur un cron qui ajoute le code ci-dessus si il n'est pas présent dans les fichiers functions.php de tous les thèmes pour ne pas avoir à les modifier à chaque mise à jour de WordPress.

En espérant avoir pu vous éclairer

2 commentaires

  1. Arrêtez-moi si je dis une bêtise…. Mais parfois, ne vaut-il pas mieux garder la version précédente, qui a eu toutes ses mises à jour, et attendre un an ou deux que la nouvelle fasse ses preuves ?

    • Complètement! Sauf une mise à jour pour des failles de sécurité. il vaut mieux faire ses mises à jour en sachant ce qu’elles apportent vraiment de plus (correctifs, améliorations), il y a toujours un risque de bug avec des thèmes trop modifiés ou certains plugins.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *