WordPress 4.8.2 est disponible, avec la correction de neuf problèmes de sécurité, que les propriétaires de site web voudront sans aucun doute installer, et ce sans plus attendre !
Dans l’ensemble, il y a eu six mises à jour WordPress cette année, avec des correctifs de sécurité, y compris le patch très discret de janvier dernier, qui traitait une vulnérabilité zero-day plutôt méchante, et donc celle-ci est la première depuis la version v4.7.5 du mois de mai dernier.
L’aspect maintenance des mises à jour WordPress comporte six autres mises à jour logicielles, mais en se focalisant sur ce qui nous préoccupe le plus, à savoir la sécurité, nous avons découvert cinq bugs Cross-Site Scripting (XSS), un vecteur d’attaque récurrent et populaire qui refuse de mourir, ainsi que deux problèmes de type “path ou directory traversal“, et enfin un autre concernant une redirection ouverte.
Il existe également le renforcement préventif de la méthode $wpdb->prepare().
Le problème n’est pas une vulnérabilité au niveau du noyau du logiciel WordPress lui-même, mais au niveau de ce que ce noyau peut permettre à un code de faire, dans le vaste écosystème des plugins et des thèmes WordPress :
Le noyau WordPress n’est pas directement vulnérable vis à vis de ce problème, mais nous avons renforcé la méthode pour empêcher les plugins et les thèmes de générer accidentellement une vulnérabilité.
WordPress a un principe de sécurité plutôt efficace, mais l’armée de plugins et de thèmes externes est à la fois une fonctionnalité formidable du logiciel, mais aussi son talon d’Achille.
Plus récemment le plugin Display Widgets, utilisé par environ 200 000 sites web, avait corrompu ces derniers, après que trois mises à jour WordPress aient été découvertes avec des backdoors, permettant d’activer des spams.
Le renforcement de la méthode $wpdb->prepare() est important car la meilleure défense contre les attaques par injection SQL est de s’assurer que les requêtes SQL sont correctement traitées vis-à-vis des caractères d’échappement. Ces derniers dans une requête SQL empêchent le moteur de la base de données de traiter les données fournies par l’utilisateur en tant que code, empêchant ainsi les cybercriminels de corrompre des requêtes à leurs propres fins malveillantes.
Selon WordPress, la meilleure manière de traiter les caractères d’échappement, est d’utiliser prepare :
Toutes les données dans les requêtes SQL doivent être traitées vis à vis des caractères d’échappement, avant que la requête SQL ne soit exécutée, afin d’empêcher des attaques par injection SQL. La méthode
prepareréalise cette tâche pour WordPress.
Ainsi, les développeurs utiliseront prepare précisément parce qu’elle est censée protéger contre des injections SQL. Bien que les versions de WordPress mises à jour doivent en principe être sécurisées vis-à-vis d’un code tiers malveillant, les anciennes versions peuvent par contre être vulnérables. Les développeurs de plugins et de thèmes doivent tester leur code sur les anciennes versions du noyau.
Ces corrections de sécurité affectent toutes les versions antérieures y compris la v 4.8.1.
Heureusement, il s’agit d’une mise à jour mineure dans une période plutôt mouvementée pour les correctifs WordPress. Comme toujours, le problème majeur est : “qui installe les mises à jour WordPress et à quelle vitesse ?“.
Plus tôt cette année, les chercheurs ont découvert un bug au niveau de l’élévation des privilèges dans une REST-API, qui a été corrigé en douceur, comme indiqué ci-dessus. Cependant, les cybercriminels étaient encore en mesure d’exploiter ce problème pour endommager un grand nombre de sites web non patchés, même si WordPress a mis en place des mises à jour automatiques de sécurité depuis octobre 2013.
WordPress met en garde (et met surtout l’accent) sur :
La seule version officielle actuellement recommandée est WordPress 4.8. Les principales versions, à partir de 3.7 et antérieures, peuvent recevoir ou ne pas recevoir des mises à jour WordPress de sécurité, selon que des exploits sérieux auront été découverts.
Il semble que, dans ce cas, WordPress ait annulé les corrections de sécurité pour chaque version de WordPress à partir de la version 3.7. Par contre, les versions suivantes sont protégées : 4.8.2, 4.7.6, 4.6.7, 4.5.10, 4.4.11, 4.3.12, 4.2.16, 4.1.19, 4.0.19, 3.9.20, 3.8.22 et 3.7.22.
Les statistiques de WordPress nous disent que seulement 40% des sites utilisent la version officiellement prise en charge. Ce n’est pas une surprise, une étude indépendante de 2013 avait montré que 73% des sites WordPress utilisaient d’anciennes versions du logiciel, avec des vulnérabilités connues.
Ce constat est un réel problème car les cybercriminels cherchent des moyens de compromettre un nombre maximal de sites web, avec un minimum d’effort, et l’utilisation de WordPress est très répandue : en effet, WordPress fait fonctionner environ 28% de tous les sites web dans le monde !
C’est pourquoi les mises à jour de WordPress commencent par ce simple conseil : Nous vous encourageons vivement à mettre à jour vos sites immédiatement.
Alors, ne perdez pas de temps, et faites le maintenant !
WordPress 4.8 : Nouveautés (de mai 2017)
Indépendamment des aspects de sécurité, je vous recommande cette vidéo pour découvrir les nouveautés de la 4.8 (retour en mai 2017). Je vous recommande au passage de vous abonner à WP Marmite car Alex parle beaucoup de sécurité accompagné par le maître en la matière Julio Potier.
Billet inspiré de WordPress 4.8.2 is out, update your website now, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.