Si vous utilisez une très ancienne version de WordPress sur votre site web, l’équipe dédiée à ce projet a quelque chose à vous dire. Les personnes responsables de la production du CMS open source veulent faire disparaître votre code de la surface de la terre !
Ne le prenez pas personnellement. WordPress souhaite simplement que vous passiez à une version plus récente de son CMS open source gratuit pour améliorer votre propre cybersécurité. Aaron Campbell, responsable à plein temps de l’équipe de sécurité open source WordPress, a tout expliqué lors d’une intervention à la conférence sur la sécurité organisée par DerbyCon, au début du mois d’octobre.
Campbell a expliqué que même si WordPress est plus occupé que jamais à corriger les failles de sécurité de son logiciel, tout cela ne servira à rien s’il ne parvient pas à résoudre son plus gros problème de sécurité : à savoir, les utilisateurs qui installent le CMS open source gratuit mais ne le mettent pas à niveau !
WordPress est de loin le CMS open source le plus populaire dans le monde entier, signifiant ainsi qu’il est utilisé par toutes sortes de personnes. Cela inclut non seulement les responsables informatiques d’entreprises, mais également les solopreneurs et les personnes souhaitant simplement bloguer sur leurs propres sites. Cela crée un tableau, au niveau des mises à jour, plutôt hétérogène.
Lorsque le projet publie de nouvelles versions plus sécurisées de son logiciel, il ne peut pas compter sur tous les utilisateurs pour l’installer de manière systématique et appliquée. Campbell a déclaré que :
Le seul moyen d’amener les utilisateurs à mettre à niveau et à utiliser la version sécurisée est qu’ils le fassent pour eux. C’est pourquoi nous avons mis en place les mises à jour automatiques.
En 2013, WordPress a changé de code pour vérifier automatiquement les nouvelles mises à jour de sécurité et les mises à jour mineures, afin de les installer automatiquement avec la sortie de WordPress 3.7. Cela ne signifie pas qu’il se mettra automatiquement à jour avec les nouvelles versions majeures (comme le passage de 3.7 à 3.8, par exemple). Les utilisateurs devront toujours le faire manuellement. Mais cela signifie qu’ils obtiendront au moins des correctifs de sécurité, à condition de ne pas désactiver manuellement la fonctionnalité !
WordPress teste ses correctifs de sécurité avec toutes les versions du CMS open source, à partie de la version 3.7, afin que même les derniers correctifs de sécurité puissent être compatibles avec ces sites. Coder et tester pendant cinq ans les versions de WordPress représente beaucoup de travail.
Au fur et à mesure que de nouveaux correctifs de sécurité sont publiés, le travail de retroportage à partir de la version 3.7 augmente avec chaque nouvelle version. La gestion de ces versions antérieures est un problème pour une équipe de sécurité composée presque entièrement de volontaires. Les chiffres du projet révèlent que les deux tiers de tous les sites utilisant WordPress fonctionnent avec la dernière version, 4.9, mais il existe encore de nombreuses versions plus anciennes. Il faut que plus de personnes utilisent les versions les plus récentes de WordPress. Mais comment ? Campbell précise :
Nous ne voulons pas les inciter à le faire en supprimant le support des anciennes versions que les gens utilisent encore.
Certains ont suggéré de mettre automatiquement à niveau toutes les versions de la version 3.7 vers la version 4.1, mais cette approche est controversée. La mise à jour de votre logiciel sans votre consentement peut créer des problèmes de confiance. Campbell continue :
Nous essayons de trouver des moyens de faire évoluer ces versions automatiquement sans endommager les sites des internautes. Nous essayons essentiellement de supprimer ces versions d’internet et de faire progresser les utilisateurs.
Si vous êtes sur le point de publier un avis, dans la section commentaires, suggérant à WordPress de s’occuper de ses affaires, gardez à l’esprit les points suivants : selon l’entreprise de sondage spécialisée dans les technologies Web, W3Techs.com, ce projet, vieux de 15 ans, est de loin le CMS open source le plus populaire, utilisé par environ 30% de tous les sites web.
Avec un tiers des sites web mondiaux fonctionnant sur ce CMS open source mis à jour volontairement, la discussion porte sur autre chose que la souveraineté de votre propre site web. Cela concerne la sécurité du web lui-même. Environ 4,2% des sites web actifs sous WordPress utilisent des versions antérieures à la version 4.0. Si le projet manque de ressources pour retroporter les correctifs vers ces versions et qu’elles se retrouvent compromises, il ne s’agira alors pas d’une simple infection localisée, mais bien d’une véritable épidémie !
Qu’est-ce que l’organisation WordPress a fait d’autre pour protéger ses utilisateurs pendant qu’elle s’occupait de ce problème ? Une mesure consiste à arrêter le trafic malveillant pouvant exploiter son logiciel avant même qu’il n’atteigne un code vulnérable. Elle a noué des relations avec des fournisseurs d’infrastructure tiers tels que Cloudflare et GoDaddy afin de bloquer le trafic exploitant les vulnérabilités au niveau du réseau.
Un autre objectif majeur sont les développeurs de plugins. En effet, un gros problème pour WordPress est que les attaques proviennent souvent de vulnérabilités dans les plugins tiers populaires. WordPress est un framework ouvert pour lequel les utilisateurs peuvent développer des fonctionnalités supplémentaires et les sites sont truffés de codes tiers qui complètent les fonctions principales du CMS.
Le retroportage des modifications au niveau des anciens logiciels risquent d’endommager les plugins installés. Le projet fonctionne donc avec certains des plus gros éditeurs de plugins pour qu’ils testent les correctifs avec leur code à l’avance. Il utilise également ce type de partenariat pour aider à mettre en évidence les problèmes de code susceptibles de générer des vulnérabilités en matière de sécurité, qu’il détecte en partie en scannant automatiquement le code dans le répertoire du plugin.
Cependant, un fait bien réel représente un gros défi pour WordPress, qui essaie de son côté d’éliminer les anciennes versions de son logiciel : en effet, 2,4% des sites WordPress utilisent encore des versions antérieures à la version 3.7, signifiant ainsi qu’il ne peut pas du tout les mettre à jour automatiquement. Cette situation ne peut être combattue que par la formation des utilisateurs et les efforts de sensibilisation, une mission que WordPress poursuit également.
Pendant ce temps, à mesure que la popularité de WordPress augmente, ces défis ne font, quant à eux, que croître à leur tour !
Billet inspiré de WordPress takes aim at ancient versions of its software, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.