Alors que l’on attend avec impatience la sortie de WordPress 3.6 qui est actuellement en bêta 4, une mise à jour de sécurité concernant la branche 3.5.x du célèbre CMS vient tout juste d’être publiée. En effet, l’éditeur du système de gestion de contenu qui n’est désormais plus à présenter diffuse WordPress 3.5.2 comme vous l’aurez peut-être d’ores et déjà remarqué en vous connectant à la console d’administration de votre site internet. Cette mise à jour corrige 12 bugs en plus de combler 7 failles de sécurité et de renforcer cette dernière.
Les patchs de sécurité appliqués concernent :
- Blocage des attaques serveurs pouvant donner accès au site internet
- Correction au niveau de la publication d’articles de contributeurs (rôle WordPress) en plus de l’assignation d’un post à un autre auteur
- Mise à jour de la librairie d’upload de fichiers SWFUpload pour lutter contre une vulnérabilité de type cross-site scripting (XSS)
- Amélioration du système de protection d’articles par mot de passe pouvant être la source d’une attaque par déni de service (DoS)
- Mise à jour de la librairie TinyMCE – permettant l’enrichissement du texte par wysiwyg – pour corriger une faille XSS
- Multiples correctifs visant à empêcher les vulnérabilités de type cross-site scripting (XSS)
- Filtrage de l’affichage du path complet d’un fichier lorsque son upload échoue
Automattic invite vivement à rapidement mettre à jour les installations WordPress indépendantes du système de gestion de contenu. Pour cela, la mise à jour automatique conviendra aux détenteurs de sites web et autres blogs profitant d’hébergeurs compatibles, alors que la mise à jour manuelle sera de mise dans le cas contraire, après avoir téléchargé WordPress 3.5.2 sur le site officiel et s’être connecté en SSH ou à l’aide de son client FTP préféré.
