Mise à jour de sécurité pour WordPress

J’invite tous les blogueurs sous WordPress à effectuer cette dernière mise à jour.

Elle corrige plusieurs vulnérabilités que le CERTA (Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) précise :

La version 2.8.5 de WordPress corrige les éléments suivants :

  • une attaque en déni de service à distance est possible via les retroliens ;
  • plusieurs fragments du programme, dans lesquels du code php pouvait être interprété, ont été supprimés ;
  • la fonctionnalité de téléchargement (upload) a été basculée vers une liste blanche pour tous les utilisateurs (y compris l’administrateur).

Avant toute mise à jour, n’oubliez pas :

  • d’effectuer une sauvegarde de votre base de données avec un plugin comme WP-DBManager,
  • de sauvegarder vos fichiers.

Mise à jour manuelle ou automatique

J’ai tenté une mise à jour automatique, qui m’a semblé bien longue, mais malgré le message final m’indiquant qu’elle avait été réalisée, il n’en était rien…

La mise à jour manuelle est en fait beaucoup plus rapide. Un petit mode d’emploi est disponible ici.

Un plugin pour vérifier son blog

Le site de wordpress.org propose un plugin qui vérifie si sur le blog, les plugins, les articles, les commentaires,… ne comportent aucun fichier « suspect ». Il s’agit de WordPress Exploit Scanner (1).


Ecrit par Lise - Site

  1. Le site du plugin fournit quelques explications supplémentaires (en anglais) []