Faille de sécurité critique de WordPress corrigée

Mis à jour le

  1. Qu’est-ce qu’une faille XSS ?

    Une faille XSS permet d’injecter du code malveillant dans un site web comme expliqué ici : Faille XSS, comment l’exploiter et s’en protéger

    L’équipe de développement de WordPress ne corrige pas toutes les versions de WordPress lorsqu’une faille est découverte. Les versions corrigées actuellement sont 3.7; 3.8; 3.9; 4.0; 4.1 et 4.2.

  2. Faille XSS du 20 novembre 2014

    Le 20 novembre 2014, une faille XSS de sécurité critique a été révélée dans toutes les versions de WordPress comprises entre 3.0 et 4.0 (incluses).

    L’équipe de développement de WordPress a corrigé les failles critiques uniquement dans les versions 3.7; 3.8; 3.9 et 4.0, ces versions corrigées s’appellent respectivement 3.7.5; 3.8.5; 3.9.3 et 4.0.1.

    Les modifications de chaque pack (lorsque possibles) sont les mêmes que celles du pack 4.0.1.

    Ceux qui ne peuvent passer à WordPress 4.0.1 doivent impérativement passer à 3.7.5, 3.8.5, 3.9.3 ou alors installer le plugin du découvreur Unquote – 0-Day Protection.

    La faille critique corrigée est expliquée ici par son découvreur : WordPress 3 Persistent Script Injection. Et traduite ici (sans avoir l’élégance de le dire) : WordPress vulnérable depuis 4 ans

  3. Faille XSS du 21 avril 2015

    Hier, mardi 21 avril 2015, une faille de sécurité critique a été révélée sur le blog de l’équipe de développement de WordPress : WordPress 4.1.2 Security Release

    Cette faille XSS concerne toutes les versions de WordPress inférieures à 4.1.2.

    L’équipe de développement de WordPress a corrigé les failles critiques uniquement dans les versions 3.7; 3.8; 3.9, 4.0 et 4.1 ces versions corrigées s’appellent respectivement 3.7.6; 3.8.6; 3.9.4, 4.0.2 et 4.1.2.

  4. Bug mineur du 24 avril 2015

    Trois jours plus tard, le vendredi 24 avril 2015, l’équipe de développement a corrigé une erreur mineure pour chacune de ces versions. Elles s’appellent 3.7.7; 3.8.7; 3.9.5; 4.0.3 et 4.1.3. Voir : WordPress 4.1.3 Released

  5. Faille XSS du 27 avril 2015

    De nouveau une deuxième faille XSS de sécurité critique touchant toutes les versions précédentes de WordPress a été découverte ce lundi 27 avril 2015.
    Les versions corrigées s’appelent 3.7.8; 3.8.8; 3.9.6; 4.0.4; 4.1.4 et 4.2.1.

    Le découvreur de cette faille explique sur son site comment vérifier si son site est vulnérable : WordPress 4.2 Stored XSS

    webvitaly, développeur du plugin « antispam 3.5 » que j’ai intégré à chacune des adaptations de WordPress indique que son plugin corrige nativement cette faille.

  6. Faille XSS du 7 mai 2015

    Ce jeudi 7 mai 2015, une fois de plus, une faille XSS de sécurité critique a été découverte qui touche toutes les versions précédentes de WordPress.

    Les versions corrigées s’appellent 4.2.2; 4.1.5; 4.0.5; 3.9.6; 3.8.8 et 3.7.8 corrigent ces mêmes failles.

    Voir l’annonce officielle sur le blog officiel de WordPress : WordPress 4.2.2 Security and Maintenance Release

  7. La sécurité en question sur WordPress

    L’équipe de développement de WordPress montre une grande légéreté dans la gestion des failles de sécurité puisqu’elle a été avertie par le découvreur en novembre 2014 et a refusé de lui répondre ainsi que de répondre à l’autorité nationale de régulation finlandaise.

    Jouko Pynnönen dit sur son site

    « WordPress has refused all communication attempts about our ongoing security vulnerability cases since November 2014. We have tried to reach them by email, via the national authority (CERT-FI), and via HackerOne. No answer of any kind has been received since November 20, 2014. According to our knowledge, their security response team have also refused to respond to the Finnish communications regulatory authority who has tried to coordinate resolving the issues we have reported, and to staff of HackerOne, which has tried to clarify the status our open bug tickets.

    To prevent exploitation, administrators should disable comments (Dashboard, Settings/Discussion, select as restrictive options as possible). Do not approve any comments. »

    Ce que « Bing translator » traduit par

    « WordPress a refusé toutes les tentatives de communication sur notre sécurité constante des cas de vulnérabilité depuis novembre 2014. Nous avons essayé de les joindre par courriel, via l’autorité nationale (CERT-FI) ou HackerOne. Aucune réponse d’aucune sorte a été reçue depuis le 20 novembre 2014. Selon nos connaissances, leur équipe d’intervention de sécurité ont également refusé de répondre à l’autorité de régulation des communications finlandais qui a essayé de coordonner à résoudre les problèmes que nous avons rapporté ainsi qu’au personnel de HackerOne, qui a tenté de clarifier le statut nos billets de bogues ouverts.

    Pour empêcher l’exploitation, les administrateurs devraient désactiver commentaires (tableau de bord, paramètres/listes de Discussion, sélectionnez Options restrictives que possible). N’approuve pas tous les commentaires. »

  8. Déploiement de la version PHP 5.6.8 beta

    • Aujourd’hui, mercredi 22 juillet à 15 40 min, Lionel Bernardi vient d’annoncer que la version PHP 5.6.8 beta est déployée sur tous les serveurs des pages perso de FREE.
      Pour activer le php 5.6 (beta), il faut ajouter la directive suivante dans le .htaccess :

      <IfDefine Free>
      php56 1
      </IfDefine>
      

      Bien sûr, cette directive remplace la directive actuelle qui est

      <IfDefine Free>
      php 1
      </IfDefine>
      

      La version originale de WordPress fonctionne parfaitement avec cette directive, il n’est donc plus besoin d’installer une version adaptée à PHP 5.1.3.
      Ainsi prend fin la longue série d’adaptation de WordPress aux pages perso de FREE !

    • Pour télécharger le fichier « .htaccess » sécurisé et optimisé pour PHP 5.6.8 selon les conseils de Al du site les.pages.perso.chez.free, cliquer sur le bouton ci-dessous :

      .htaccess sécurisé pour PHP 5.6.8

      Voir le code du fichier .htaccess sécurisé et optimisé pour PHP 5.6.8

  9. Téléchargement

    Les modifications de toutes les versions sont identiques à celles effectuées pour la version 4.2 (lorsque possibles) et décrites ici : Installer WordPress 4.2 « Powell » sur les pages perso de FREE

    À défaut de pouvoir installer WordPress 4.2.2, il est impératif de passer sous l’une des versions adaptées aux pages perso de FREE ci-dessous :

    <-- WordPress 4.2.2 corrigé d'une faille de sécurité critique trouvé dans toutes les versions de WordPress inférieures à 4.2.2 (publié le 7 mai 2015). Voir : WordPress 4.2.2 Security Release. Attention : vous devez supprimer manuellement (via FTP) les fichiers « example.html » listés ici pour corriger la faille de sécurité.


    <-- WordPress 4.1.5 corrigé d'une deuxième faille XSS critique trouvé dans toutes les versions de WordPress inférieures à 4.2.2 (publié le 7 mai 2015). Voir : WordPress 4.2.2 Security Release. Attention : vous devez supprimer manuellement (via FTP) les fichiers « example.html » listés ici pour corriger la faille de sécurité.


    <-- WordPress 4.0.5 corrigé d'une deuxième faille XSS critique trouvé dans toutes les versions de WordPress inférieures à 4.2.2 (publié le 7 mai 2015). Voir : WordPress 4.2.2 Security Release.

    <-- WordPress 3.9.6 corrigé d'une faille XSS critique trouvé dans toutes les versions de WordPress inférieures à 4.2.2 (publié le 7 mai 2015). Voir : WordPress 4.2.2 Security Release.

    <-- WordPress 3.8.8 corrigé d'une faille XSS critique trouvé dans toutes les versions de WordPress inférieures à 4.2.2 (publié le 7 mai 2015). Voir : WordPress 4.2.2 Security Release.

    <-- WordPress 3.7.8 corrigé d'une faille XSS critique trouvé dans toutes les versions de WordPress inférieures à 4.2.2 (publié le 7 mai 2015). Voir : WordPress 4.2.2 Security Release.

  10. Que faire en cas de problème ?

    1. En cas de problème lors de l’installation de WordPress sur les pages perso de FREE, vous pouvez demander de l’aide sur le forum USENET officiel de support des pages perso de FREE. Des bénévoles vous expliqueront tout en détail.

      Ce forum n’est pas accessible depuis un navigateur internet. C’est en réalité un « groupe de discussion » (comme ceux usités par les universitaires). Pour y accéder, vous devez installer un logiciel de News comme par exemple :

    2. Pour un problème lié à WordPress lui-même, vous pouvez vous adresser aux forums supports de WordPress :

  11. Crédit photo :

    « Faille » de Marc Delforge sous licence creative commons.

Si vous avez trouvé une faute d’orthographe, informez-nous en sélectionnant le texte et en appuyant sur Ctrl + Enter