p

Si vous disposez d’un abonnement d’infogérance WordPress chez Icodia, ne vous souciez de rien, les mises à jour sont effectuées par nos services.

L’équipe de WordPress a publié la version 6.4.2 du CMS qui corrige une faille de sécurité et le module Elementor fait lui aussi l’objet d’une faille de sécurité
Il est important d’effectuer la mise à jour de votre site au plus vite.

Mise à jour de maintenance et de sécurité

Une vulnérabilité majeure a été identifiée dans la version 6.4.x de WordPress, avec un score CVE de 8.1 (important), touchant les versions antérieures à 6.4.2. Cette faille concerne spécifiquement la « POP chain », engendrant une Remote Code Execution (RCE) et vulnérable à une injection d’objet.
Le problème se situe dans la classe WP_HTML_Token, introduite dans WordPress 6.4 pour améliorer l’analyse HTML dans l’éditeur de blocs. Cette classe inclut une méthode __destruct qui s’exécute automatiquement après le traitement de la requête par PHP. La vulnérabilité réside dans l’utilisation de « call_user_func » pour exécuter la fonction transmise. Un attaquant exploitant une injection d’objet pourrait prendre le contrôle des propriétés on_destroy, permettant l’exécution de code arbitraire sur le site pour obtenir un contrôle total.
Il est impératif de mettre à jour rapidement WordPress de la version 6.4.x à la version 6.4.2.

Par ailleurs, une autre faille majeure concerne le plugin Elementor pour WordPress, jusqu’à la version 3.18.1.
Cette vulnérabilité permet le téléchargement de fichiers arbitraires via la fonctionnalité d’importation de modèles, autorisant les attaquants authentifiés avec un accès contributeur ou supérieur à télécharger des fichiers et à exécuter du code sur le serveur. Le CVE est de 8.8/10, car un niveau d’accès faible en WordPress permet de facilement exploiter la faille, néanmoins, aucun utilisateur non identifié ne peut l’exploiter.
Il suffit de passer en version 3.18.2 pour résoudre le problème.

Pour en savoir plus :

Consultez le bulletin de l’équipe WordPress

Vous n’êtes pas en mesure de faire ces mises à jour ?

Si vous ne disposez pas des compétences techniques pour mettre votre site à jour, notre service développement peut vous proposer une prestation de mise à jour du moteur WordPress et de ses modules.
=> N’hésitez pas à nous contacter, nos techniciens sont à votre disposition.

Comment faire pour entretenir mon site WordPress à l’avenir  ?

Vous ne le savez peut-être pas, mais Icodia propose un abonnement d’infogérance technique pour les sites WordPress, incluant les mises à jour du noyau WordPress et des modules non commerciaux figurant dans le catalogue du Codex WordPress pour 51€ ht/an.

Pour un site WordPress utilisant une dizaine de modules, cela peut représenter une centaine de mises à jour par an, qui sont indispensables pour la sécurité de votre site internet.

=> Pour plus d’informations sur cet abonnement d’infogérance technique :
vous pouvez consulter notre site à l’adresse :
http://www.icodia.com/fr/solutions/infogerance/wordpress.html
ou nous contacter.