WordPress 4.5.3 a été publié aujourd’hui pour résoudre sept problèmes de sécurité importants qui affectent la version 4.5.2 et les versions antérieures. Les mises à jour en arrière-plan automatiques sont déjà lancées et tous les utilisateurs sont invités à mettre à jour immédiatement leur installation de WordPress. Les problèmes corrigés sont les suivants :

  • Redirection contournée dans le customizer (rapporté par Yassine Aboukir)
  • Deux problèmes différents XSS via des noms de fichiers attachés (rapporté par Jouko Pynnönen et Divyesh Prajapati)
  • Divulgation des Informations sur l’historique de révision (rapporté indépendamment par John Blackbourn de l’équipe de sécurité de WordPress et par Dan Moen)
  • Déni du service oEmbed (rapporté par Jennifer Dodd de Automattic)
  • Catégorie non autorisée retiré d’un article (rapporté par David Herrera de Alley Interactive)
  • Le changement de mot de passe par l’intermédiaire de cookies volés (rapporté par Michael Adams de l’équipe de sécurité de WordPress)
  • Certains cas de nom peu sécurisé avec la fonction sanitize_file_name (rapporté par Peter Westwood de l’équipe de sécurité de WordPress)

Différentes entreprises et bénévoles indépendants ont travaillé ensemble, pour communiquer de façon responsable, afin de résoudre ces problèmes rapidement, pour continuer à faire de WordPress un logiciel fiable.

Cette version corrige également 17 bugs de la version 4.5, 4.5.1 et 4.5.2. Inclure tous les correctifs dans une mise à jour unique signifie moins de mises à jour pour les utilisateurs. Consultez les notes des versions et les tickets fermés pour une liste complète des correctifs inclus dans la version 4.5.3.

Comment configurer les mises à jour automatiques

Cette mise à jour aurait pu se faire en arrière-plan chez vous, si la fonctionnalité de mise à jour automatique avait été activée. A partir du Codex de WordPress, nous pouvons apprendre à activer les mises à jour automatiques sur votre installation de WordPress. Tout ce que vous avez à faire, c’est d’ajouter le code suivant :

define( 'WP_AUTO_UPDATE_CORE', true );

à votre fichier wp-config.php

Comment recevoir les notifications lorsqu’une mise à jour est disponible

Vous ne pouvez pas toujours être disponible pour faire une mise à jour de WordPress. Tout ce que vous devez faire dans ce cas, c’est d’activer les notifications par email qui vous permettront de savoir lorsqu’il y a une mise à jour pour votre blog WordPress.

Comment configurer manuellement les mises à jour avec des filtres WordPress

WordPress vous donne le contrôle des mises à jour mineures et majeures. Les mises à jour mineures qui apportent généralement des modifications de sécurité et quelques améliorations légères. Les mises à jour majeures apportent généralement des améliorations qui changent l’expérience utilisateur, mais aussi des correctifs de sécurité.

Les mises à jour majeures ont un numéro de version différent de celui des mises à jour mineures. En des termes plus simples de la version 4.4 à 4.5 il s’agit d’une version majeure. De la version 4.5.2 à 4.5.3 il s’agit d’une mise à jour mineure. Evidemment de la version 3.9 à 4.0 il s’agit d’une mise à jour majeure.

Pour chaque type de mise à jour, vous avez la possibilité de désactivez ou d’activez chacune. Généralement en ce qui concerne les mises à jour majeure, il souvent déconseillé de laisser les mises à jour automatique, car elles peuvent affecter votre site web, notamment avec un problème de compatibilité à l’égard vos thèmes ou vos plugins.

Mais si vous le souhaitez, vous pouvez activer les mises à jour majeures ainsi :

add_filter( 'allow_major_auto_core_updates', '__return_true' );

Pour désactiver les mises à jour majeures, tout ce que vous devez faire, c’est de remplacer « __return_true » par « __return_false ».

Cette méthode vaut également pour les mises à jour mineures :

add_filter( 'allow_minor_auto_core_updates', '__return_true' );

C’est tout pour ce tutoriel. N’hésitez pas à poser des questions dans la section des commentaires.