La sécurité du CMS WordPress revêt une importance capitale pour tous les utilisateurs et développeurs de sites web. Récemment, une mise à jour majeure, la version WordPress 6.4.2, a été déployée afin de remédier à une vulnérabilité critique. Cet article examine en détail cette mise à jour et ses répercussions sur la sécurité des sites WordPress.
Quelle est le contexte de la Mise à Jour WordPress 6.4.2 ?
En date du 6 décembre 2023, WordPress a émis la version 6.4.2, comportant un correctif destiné à résoudre une vulnérabilité liée à une chaîne de programmation orientée propriété (Property Oriented Programming – POP) introduite dans la version 6.4. Cette faille, conjuguée à une autre vulnérabilité distincte d’injection d’objet, ouvrirait la porte à l’exécution de code PHP arbitraire sur un site, entraînant ainsi une prise de contrôle totale.
Analyse Technique
La vulnérabilité réside dans la classe WP_HTML_Token, introduite dans WordPress 6.4 pour améliorer l’analyse HTML dans l’éditeur de blocs. Cette classe inclut une méthode magique __destruct, automatiquement exécutée après le traitement de la requête PHP. Un attaquant exploitant une vulnérabilité d’injection d’objet pourrait prendre le contrôle total des propriétés on_destroy et bookmark_name, lui permettant d’exécuter du code arbitraire sur le site.
Le Correctif
La solution apportée est simple mais efficace. Elle consiste à ajouter une méthode __wakeup à la classe WP_HTML_Token, générant une erreur dès qu’un objet sérialisé de cette classe est désérialisé. Ceci prévient l’exécution de la fonction __destruct.
Recommandations
Il est donc vivement recommandé à tous les utilisateurs de WordPress de procéder à la mise à jour immédiate de leur site vers la version 6.4.2. Cette mise à jour revêt une importance cruciale pour la sécurité du site, surtout en présence d’autres vulnérabilités potentielles.
Change Logs : La mise à jour de Maintenance et de Sécurité WordPress 6.4.2 corrige 7 correctifs importants
#59819 – Modification de l’alignement CSS de start / end à flex-start / flex-end pour une compatibilité complète avec tous les navigateurs.
#59821 – Commentaire non pertinent pour les traducteurs.
#59847 – Depuis WordPress 6.4, la fonction functions.php d’un thème déplacée vers un emplacement différent en utilisant register_theme_directory n’est plus appelée.
#59869 – Référence incorrecte dans le docblock pour _register_theme_block_patterns.
#59882 – Exposition du contenu de modèle sérialisé aux rappels enregistrés sur le filtre hooked_block_types.
#59891 – Exemple incorrect pour la classe WP_HTML_Tag_Processor.
#59935 – Éditeur de site : logo.
L’équipe de sécurité WordPress a abordé la vulnérabilité suivante dans WordPress 6.4.2.
Une vulnérabilité d’exécution de code à distance qui n’est pas directement exploitable dans le noyau. Cependant, l’équipe de sécurité estime qu’il existe un potentiel de gravité élevée lorsqu’elle combine cette vulnérabilité avec certains plugins, notamment dans les installations multisites.
Jorbin a dirigé la version 6.4.2.
https://wordpress.org/documentation/wordpress-version/version-6-4-2/
Liste des fichiers révisés pour la mise à jour WordPress 6.4.2
./readme.html
./wp-admin/css/about-rtl.min.css
./wp-admin/css/about.css
./wp-admin/css/about-rtl.css
./wp-admin/css/about.min.css
./wp-admin/includes/update-core.php
./wp-admin/about.php
./wp-includes/theme.php
./wp-includes/ms-blogs.php
./wp-includes/html-api/class-wp-html-token.php
./wp-includes/html-api/class-wp-html-tag-processor.php
./wp-includes/version.php
./wp-includes/block-template-utils.php
./wp-includes/block-patterns.php
./wp-includes/rest-api/class-wp-rest-server.phpConclusion
Cette mise à jour de WordPress met en lumière l’impératif de maintenir les systèmes à jour. Pour conclure, partagez ces informations avec d’autres utilisateurs de WordPress est essentiel mais aussi pour prévenir d’éventuels risques majeurs en matière de sécurité.
Si vous constatez une page blanche lors de la mise à jour vers WordPress 6.4.2, lisez notre article à ce sujet : “Comment Résoudre Rapidement le Problème de la Page Blanche WordPress ?“
Confiez la Mise à Jour et la Maintenance de Votre Site WordPress à Promatec Digital
Avec l’évolution des exigences en matière de sécurité, il donc est essentiel de maintenir un site WordPress à jour afin d’assurer sa protection contre les vulnérabilités potentielles.
Notre agence WordPress près de Lille, prend en charge la maintenance de WordPress, la positionnant ainsi en tant que partenaire idéal. Forte de son expertise, l’équipe de Promatec Digital peut prendre en charge la mise à jour de votre site vers la dernière version, assurant ainsi la résolution des problèmes récemment identifiés.
Promatec propose aussi des services complets de maintenance pour garantir le bon fonctionnement continu de votre site WordPress. Nos experts veillent à ce que votre site reste performant, sécurisé et à jour avec les dernières fonctionnalités de WordPress.
En nous confiant la gestion de votre site WordPress, vous bénéficiez donc de la tranquillité. L’équipe dédiée chez Promatec Digital s’engage ainsi à optimiser votre expérience en ligne en offrant des services de qualité, adaptés à vos besoins spécifiques.
N’attendez pas que les vulnérabilités compromettent la sécurité de votre site. Faites donc le choix de la tranquillité en confiant la maintenance de votre site WordPress. Contactez-nous dès aujourd’hui pour bénéficier d’une expertise spécialisée mais aussi assurer le succès continu de votre présence en ligne !