La version 4.2 de WordPress n’a été proposé qu’il y a quelques jours mais elle est d’ors et déjà victime d’une faille de sécurité.
Un patch de WordPress est déjà disponible
La version 4.2 de cette plate-forme CMS n’a été distribué qu’il a à peine une semaine et pourtant depuis hier soir une version 4.2.1 est déjà en cours de déploiement. La raison? La version 4.2 est touchée par une faille de sécurité de type XSS. La même faille qui a touché de nombreux plugins il n’y a pas si longtemps. La version 4.2 n’aura donc pas vécu très longtemps.
Je vous recommande bien évidemment de faire la mise à jour en urgence. Cette faille, si elle était exploitée par un pirate aux mauvaises intentions, pourrait faire énormément de mal à votre site. Vous avez peut-être eu la chance de voir WordPress se mettre à jour automatiquement dans ce cas vous n’avez rien à faire. Pensez simplement à vous assurer que vous êtes bien en 4.2.1. Sait-on jamais. Sinon sachez qu’il est possible de télécharger la mise à jour à cette adresse.
C’est quoi une faille XSS ?
XSS est l’abréviation de cross-site scripting. Une faille XSS est une vulnérabilité permettant d’injecter du contenu dans une page. Elle engendre ainsi des actions sur les navigateurs web visitant la page. Le champ d’action du pirate est très large puisque les navigateurs comprennent beaucoup de langage (html, java, …). En exploitant ce genre de vulnérabilité, un attaquant peut ainsi modifier le contenu d’une page internet, parfois de façon invisible. Par exemple, forcer le téléchargement d’un virus sans que l’internaute s’en aperçoive. Il peut également faire croire que le site visité demande une authentification ou usurper la page de paiement d’une banque et ainsi récupérer les données personnelles de tous les internautes tombant dans son piège.
Voilà pourquoi il est important de toujours garder un site à jour. Surtout lorsque que l’on utilise WordPress, l’un des CMS les plus répandus sur internet.