Depuis quelques heures, une version 4.5.3 de WordPress est en cours de déploiement afin de résoudre une faille qui permettait de contourner les protections par mot de passe.
Une faille de WordPress jugée sérieuse !
La plateforme CMS vous permet de créer des accessibles par un mot de passe et seuls les utilisateurs possédant, ce mot de passe, peuvent alors accéder à cet article. ça c’est dans la théorie car depuis quelques jours une faille avait été découverte par les équipes de Wordfence et elle permettait à quiconque de contourner cette protection par mot de passe et donc d’accéder à l’information.
Cette faille a obtenu un score CVSS (un système de notation des vulnérabilités en fonction de leur dangerosité sur une échelle de 0 à 10) de 7.5 pour un site propulsé par wordpress et dont les inscriptions sont ouvertes. Si toutes fois les inscriptions étaient fermées, le score retombait à 6.5 car passer la protection par mot de passe devenait plus compliqué à mettre en oeuvre.
Une version 4.5.3 de WordPress a été publié depuis hier, il est donc vivement recommandé de mettre à jour vers cette version à la fois de maintenance et de sécurité. Wordfence signale malgré tout, que les utilisateurs de la version premium de leur plugin WP sont protégés depuis la découverte de cette vulnérabilité puisque qu’une règle avait été ajouté au pare-feu de wordfence, empêchant ainsi le reverse engineering.