Wordpress 4.2.2 est de sortie !

Wordpress enchaine les mises à jour à un rythme effréné. Preuve en est, l’éditeur de la solution vient de déployer une nouvelle version de son CMS durant la nuit sur nos sites et sur nos blogs. Wordpress 4.2.2 est donc de sortie et il vaudra mieux l’installer de toute urgence si vous voulez protéger votre installation.

En dehors des correctifs et des optimisations habituels, cette version vient effectivement corriger deux importantes failles de sécurité.

De grosses failles, même, puisqu’elles pouvaient porter atteinte à l’intégrité de nos sites.

Deux grosses failles de corrigées

La première porte sur un fichier HTML en lien avec la police Genericons. Problématique, d’autant qu’elle est utilisée sur de nombreux thèmes et notamment sur Twenty Fifteen, qui est le thème par défaut de Wordpress. Une fois installée, la mise à jour analysera le contenu du dossier wp-content et elle supprimera automatiquement le fichier posant problème.

Rassurez-vous car cela ne devrait pas avoir une quelconque incidence sur votre site. Enfin dans le meilleur des cas.

La seconde faille est de type XSS et elle touche absolument toutes les installations de Wordpress antérieures à la version 4.2. Les détails ne sont pas précisés, mais elle permet apparemment à un utilisateur anonyme de compromettre définitivement un site.

En marge, Automattic a aussi mis en place un outil analysant tout le contenu saisi dans l’éditeur visuel, pour protéger nos Wordpress d’éventuelles attaques XSS.

Si vous ne l’avez pas encore fait, il suffit de vous rendre dans le menu dédié aux mises à jour du CMS pour installer Wordpress 4.2.2 sur votre site. La procédure est censée être automatique, mais une vérification ne coûte rien.