Sortie de WordPress 2.8.4 ! Mise à jour de sécurité !

Et encore une nouvelle version pour WordPress !

Après une version 2.8.2 et 2.8.3 corrigeant des problèmes de sécurité dans la console d’administration, l’équipe de développeur a découvert une vulnérabilité assez gênante… (et non une faille)

En effet en jouant avec les paramètres de la page de connexion, il est possible pour un hackeur de forcer l’envoi de l’email de la fonctionnalité “mot de passe oublié ?”, et d’en générer un nouveau de ce fait.

Cela ne veut pas dire que le hackeur obtient le mot de passe, en fait le mot de passe est uniquement envoyé à l’adresse e-mail du compte visé. Bien entendu, le compte “admin” est le plus touché par ce problème… car c’est le compte par défaut!

Ici nous avons affaire à un bug gênant, mais pas réellement dangereux en soi…

Le problème a été corrigé et testé dans la nuit, n’attendez pas pour mettre à jour votre version de WordPress. J’ajouterai une recommandation concernant la sécurité de votre blog, créer vous un deuxième compte administrateur et supprimer le compte “admin” par défaut… C’est celui-là qui est généralement utilisé par les hackeurs :)

La version française est d’ores et déjà disponible !

Pour ma part, j’ai eu un grand coup de flip hier, car j’ai reçu des nouveaux mots de passe pour plusieurs de mes blogs, mais aussi des blogs assez connus de la blogosphère française que j’administre ponctuellement… Pour le coup j’ai changé tous mes mots de passe d’emails, de blogs, et j’ai aussi supprimé tous mes comptes “admin”.

Quel soulagement cette vulnérabilité ! :)

L'auteur : Amaury

Co-fondateur de WordPress Francophone.

Freelance spécialisé dans l'expertise WordPress et WordPress Mu

Retrouvez mon blog : www.herewithme.fr

Et mon site professionnel : wp-box.fr

Informations annexes à l'article

Cet article a été publié le Mercredi 12 août 2009 à 8:46 et est classé dans WordPress.

Vous pouvez en suivre les commentaires par le biais du flux RSS 2.0.

Vous pouvez laisser un commentaire, ou faire un trackback depuis votre propre site.

Article lu 9 210 fois.

Méta

1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de note)
Loading ... Loading ...
Imprimer cette article Envoyer cet article à un ami

32 commentaires

  1. piouPiouM 12/08/09 - 8:58

    Dans le cas de cette vulnérabilité, supprimer le compte admin n’aurait rien changé si ton compte alternatif ayant les droits d’aministration était le deuxième créé.

    En effet, le mot de passe est regénéré pour le premier compte utilisateur trouvé n’ayant aucune demande de réinitialisation de mot de passe en attente.

  2. Amaury 12/08/09 - 9:14

    Après lecture du changeset, c’est exact :)

    Cela dit ma recommandation pour le compte utilisateur vaut quand même ;)

  3. William 12/08/09 - 9:33

    Merci Amaury de nous avoir fait passé l’info et de tes conseils d’utilisation. Je viens de faire la mise à jour en automatique après avoir fait une sauvegarde de la base.

    Bonne journée

  4. Jay 12/08/09 - 9:44

    Merci pour ces info Amaury.
    Est ce qu’il ne serait pas envisageable (je sais tout est possible) de changer l’emplacement comme le fichier conf ?
    Je pense que ca doit être le fichier le plus recherché pour attaque la bdd non?

    Allez, je vais me lancer dans les MAJ de mes blogs ;)

  5. Phoenix 12/08/09 - 10:51

    J’ai eu le même problème hier après midi, j’ai cru que mon blog allait y passer.

  6. Annie 12/08/09 - 11:05

    mais on nous donne automatiquement admin (ce que j’ai toujours trouvé nul trop facile pour n’importe qui de trouver cette identité) et maintenant si j’ai bien compris mais vraiment j’en suis pas sûre il faudrait le supprimer ? mais je croyais que c’était impossible justement, merci de me confirmer avant que je me lance dans des trucs………bof bof bof

  7. Amaury 12/08/09 - 11:17

    Pour supprimer le compte admin.

    1. Créer un nouveau compte avec le rôle admin
    2. Se reconnecter avec le nouveau compte
    3. Effacer le compte en attribuant l’ancien contenu au nouvel utilisateur :)

    Et le tour est joué :)

  8. Annie 12/08/09 - 11:53

    merci Amaury

  9. Annie 12/08/09 - 12:03

    ça marche !

  10. Maître Mô 12/08/09 - 15:36

    Merci Amaury, pas de vacances pour les braves..!
    Sans vouloir trop exiger, y aurait-il un lien de téléchargement pour les seuls fichiers modifiés, je suppose qu’il n’y en a pas dix-mille, et ça m’éviterait de devoir réintégrer toutes mes modifs persos à la nouvelle version..?

  11. Amaury 12/08/09 - 15:38

    Maitre Mo > Va falloir m’éditer à faire les modifications via des plugins :)

    Les différences :
    http://core.trac.wordpress.org.....;new=11806

    Il y a un lien “Archive ZIP” en bas de la page !

  12. Thibault 12/08/09 - 17:48

    Merci pour l’info.
    Mise à jour auto effectuée :)

  13. Guy DOYEN 12/08/09 - 19:27

    La mise à jour a été longue.


    Téléchargement de la mise à jour depuis http://fr.wordpress.org/wordpress-2.8.4-fr_FR.zip.

    Décompression de la mise à jour.

    Vérification des fichiers décompressés

    Installation de la dernière version

    Mise à jour de la base de données
    —-

    La mise à jour à l’air d’avoir échouée…

  14. Guy DOYEN 12/08/09 - 19:39

    Wordpress a bien géré le problème, l’interface admin est de nouveau accessible avec le message :

    ”Une mise à jour automatique de WordPress a échoué en cours de route ; vous pouvez tenter de la relancer”.

  15. clara 12/08/09 - 21:26

    Merci beaucoup, c’est vrai que cela pourrait être génant.

  16. Lise 12/08/09 - 21:51

    J’ai fait un article détaillant la manip qu’Amaury indique pour créer un nouveau compte d’admin, pour en rassurer certains ;-)
    http://liseweb.o2switch.net/BL.....ur-du-blog

    Désolée pour cette adresse provisoire, mais mon blog est toujours blacklisté par Google bien qu’il ait été “désinfecté” et mis à jour…

  17. Labaidai 13/08/09 - 3:54

    Ca commence à devenir un peu lourd, toutes ces mises-à-jours qui se suivent de si près, on a presque l’impression d’être devant avec le pantalon baissé…

    Certains de mes blogs étant chez des hébergeurs de merde (ovh pour ne pas le citer) je suis obligé de faire les mises-à-jour à la main, et c’est bien long et chiant !

    Je crois que je vais m’acheter un mini-pc à la maison qui servira de serveur, pour enfin quitter le minitel 2.0 et entrer dans l’internet !

  18. Maître Mô 13/08/09 - 5:34

    Merci pour le lien, Amaury, bien utile quand-même : seulement deux fichiers modifiés par cette version, en fait, ça gagne du temps..!!!!

  19. Amaury 13/08/09 - 8:29

    Labaidai > Ne prend que les fichiers modifiés, c’est juste 1000 fois plus rapide :)

    Ensuite, y’a forcément certains avantages et certains inconvénients dans l’opensource… Ce bug représente le coté pas de bol :)

  20. Labaidai 13/08/09 - 14:26

    Oui c’est ce que je vais faire, une fois que je saurais lesquels je dois remplacer.

    Et pour l’opensource, je me dis que heureusement que Wordpress est Opensource parce que sinon ces problèmes seraient vite exploités et lentement corrigés.

    Je râle parce que ces mises-à-jour se suivent de trop près, mais dans le fond je préfère ça que pas de mise-à-jour du tout. C’est mon côté râleur :D

  21. Yoda 14/08/09 - 15:38

    J’ai aussi eu la surprise de me retrouver avec mon mot de passe réinitialisé bien que je n’utilise pas le compte « admin » (il était déjà supprimé, j’utilisais un autre compte avec les droits admin).

    Et à mon avis vous pouvez déjà vous attendre à une version 2.8.5, je viens de m’apercevoir qu’un gars a réussi à laisser un commentaire sans même que je n’ai eu besoin de l’approuver.

    Dans mes options de discussion j’ai bien «L’auteur d’un commentaire doit avoir déjà publié un commentaire approuvé» de coché, et «Un administrateur doit toujours approuver le commentaire» de décoché, mais après recherche dans les commentaires et les logs je m’aperçois que c’est le premier commentaire qu’il dépose avec ce pseudo et adresse mail.

  22. François 26/08/09 - 23:55

    Zut !
    J’ai deux problèmes majeurs depuis que j’ai cliqué le bouton « Mettre à jour automatiquement » pour passer de 2.8 à 2.8.4 :

    1. Les caractères accentués apparaissent désormais comme des points d’interrogation sur fond noir (�). Pourquoi ?

    2. Je n’ai plus accès à ma zone Administrateur (« Vous n’avez pas les droits suffisants pour accéder à cette page »). Pourquoi ?

    C’est la première fois que la fonctionnalité de mise à jour automatique me donne autant de problèmes. Quelqu’un a des idées pour corriger cela ? Je dois retrouver le contrôle de mon blogue !!

    Mille merci. ;-)
    FLR

  23. François 26/08/09 - 23:57

    Note de suivi…
    Évidemment, j’ai une sauvegarde de ma base SQL (version de mon blogue sous 2.8), mais je ne sais pas comment la restaurer. :-|

  24. kem08 09/09/09 - 0:33

    salut j’ai crée un second compte administrateur avec un identifiant compliqué mais avant de supprimer mon compte admin il faut que j’attribue les 500 article du blog à mon nveau compte admin.
    Comment faire, je trouve aps la commande..

  25. Amaury 09/09/09 - 9:24

    Quand on supprime l’utilisateur, WordPress propose d’effacer les articles ou les lier à un autre utilisateur.

  26. Engelmajer-Rivera 11/09/09 - 18:56

    mon blog s’est “désarmorcé” et je ne peux joindre la personne qui l’a créé? Que puis-je faire pour le remettre en route? c’est important pour moi, merci de m’aider!
    Cordialement
    Lyliane Engelmajer-Rivera

  27. Engelmajer-Rivera 11/09/09 - 19:01

    Petite information supplémentaire : je ne comprends rien au langage informatique; dans la réponse soyez s’il vous plaît le plus clair possible.
    Merci

  28. anneclaire 16/09/09 - 11:55

    J’ai un bug avec la version 2.8.4 en français : impossible de créer des tags (bouton inactif), suis-je la seule ?
    merci :)

  29. pyer 25/09/09 - 12:12

    Bon j’ai compris je vais attendre un peu pour la MAJ …!
    Merci

  30. Alex13 10/10/09 - 19:59

    Images will display in the post, for example, while MP3s and videos are playable directly in the page. ,

  31. Sam 15/10/09 - 6:53

    J’ai des soucis avec cette MAJ :
    - Impossible de créer les tags
    - Impossible d’insérer images

  32. Red81 22/10/09 - 20:21

    El Nino and the next solar cycle kick in, global temperature will be above the trend line. ,

Laisser un commentaire

xHTML: Vous pouvez utiliser ces tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

écrire un commentaire

4 rétroliens

  1. Migration vers WordPress 2.8.4 réalisée! | PcHelp Tél:06 63 55 66 14
  2. Mes favoris du 12-08-09
  3. Irène Delse » Le blougue est de retour
  4. 2.8.4 | Lise Capitan - Traductions