Automatisation des mises à jour de sécurité : WordPress 3.7 est désormais disponible

Responsables ITSécurité

 

Suite de notre billet sur les 73% de sites WordPress vulnérables.

Automattic a annoncé la sortie d’une version 3.7 de WordPress, baptisée “Basie”. Il est donc temps de migrer si votre site est développé avec cet éditeur de CMS. Chez Naked Security, ils n’ont pas pour habitude de faire du bruit pour des mises à jour logicielles, mais cette version 3.7 de WordPress est très importante.

wordpress-3-7L’importance de cette version ne réside pas dans la correction d’une vulnérabilité particulièrement redoutable, mais dans le fait que, pour la première fois, le logiciel pourra automatiquement aller récupérer les dernières releases de sécurité et de maintenance. Ceci pourrait bouleverser à tout jamais l’écosystème de WordPress.

La fonctionnalité principale de la dernière version de cette plateforme de blogging extrêmement connue et populaire : le téléchargement automatique des mises à jour de sécurité.

La prochaine fois que WordPress.org émettra une mise à jour de sécurité, comme par exemple, celle de la version 3.6.1 qui invitait les utilisateurs à mettre immédiatement à jour leur site, celle-ci sera déployée automatiquement aux utilisateurs équipés de la version 3.7 et plus.

Nous sommes tous globalement habitués à ce que les logiciels de nos postes de travail, de nos tablettes, de nos ordinateurs et de nos téléphones portables se mettent à jour automatiquement, en tâche de fond, sans que nous nous en apercevions. Il est désormais intéressant de constater que les logiciels web s’y mettent à leur tour. Cela devrait être le cas depuis longtemps déjà.


// Cette mise à jour en tâche de fond de WordPress est extrêmement significative, et ce, pour une raison très simple : c’est un logiciel très réputé et très utilisé. On ne sait pas estimer précisément le nombre de sites développés avec WordPress mais on pense que c’est le cas de 15 à 20% d’entre eux.

Inutile donc de préciser que cela concerne un très grand nombre de sites web ; si grand que les pirates cherchant à mettre en place des réseaux de botnets,  sont prêts à investir dans des attaques automatisées et de très grande ampleur,  capables d’analyser et de cibler des vulnérabilités connues dans WordPress.

En termes de sécurité, pour se défendre au mieux contre ces attaques, WordPress a toujours recommandé d’être équipé de la toute dernière version de WordPress.

Et comme l’explique Andrew Nacin sur le blog Make WordPress Core :

[quote align=”center” color=”#999999″]En ne mettant pas à jour votre site, vous contribuez à rendre le web moins sûr. Ceci vous concerne, mais concerne également l’ensemble des personnes visitant votre site.[/quote]

Il semblerait cependant que beaucoup de gens se moquent de cette recommandation. Selon certains analystes, quelques 73% des sites WordPress sont vulnérables car ils ne tournent pas sous la toute dernière version.

Ainsi, cette mise à jour automatique de WordPress pourrait faire bien plus que simplement diminuer le nombre de sites web vulnérables : elle pourrait former une sorte de « barrière immunitaire » autour des utilisateurs de WordPress, les rendant ainsi beaucoup moins faciles à cibler pour les pirates.

Cette mise à jour automatique couvre également les thèmes et les plugins,  (les habillages logiciels et les ad-ons) qui permettent la personnalisation des sites web développés sous WordPress. Certains plugins sont utilisés si fréquemment qu’à eux seuls, ils peuvent faire l’objet d’une attaque.

Même si les mises à jour des thèmes et des plug-ins ne sont pas encore totalement automatisées (c’est encore un système de case à cocher), je pense que cela changera très prochainement. Et pour finir la citation de Nacin : « c’est un très grand pas vers un Internet plus sûr. »

Vous pouvez télécharger le logiciel sur WordPress.org. Pour en savoir plus sur la version 3.7, consultez l’annonce de la release sur le blog de WordPress. Vous trouverez également sur le blog Make WordPress Core, un post détaillé sur la désactivation des mises à jour automatiques.

[divider]
Billet traduit de WordPress 3.7 with automatic security updating is out now, par Mark Stockley, Sophos nakedsecurity.

Partagez ce billet WordPress avec http://bit.ly/1hpPWZR

1 Commentaire

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.