WordPress vient tout juste d’être mis à jour par la communauté, et passe ainsi à la version 3.0.4. Cela, une vingtaine de jours à peine après le passage en 3.0.3.
Là encore, c’est (encore) une mise à jour critique de sécurité. Mais que corrige t-elle ?
Le problème provenait du cœur de WordPress, et de sa librairie de “nettoyage” du code HTML appelée KSES, et qui est utilisée par WordPress lorsque l’on poste un article ou un commentaire par exemple. Avec cela, un utilisateur mal intentionné a la possibilité d’injecter du code directement dans votre site. On remerciera deux développeurs : Mauro Gentile et Jon Cave pour leur découverte de cette faille.
Cette mise à jour 3.0.4 de WordPress modifie les fichiers suivants :
- wp-includes/formatting.php
- wp-includes/kses.php
Nous vous invitons donc à mettre à jour votre site le plus vite possible via le tableau de bord, ou via votre logiciel FTP. Pour rappel, la version précédente 3.0.3 de WordPress était également une simple mise à jour de sécurité pour les blogs utilisant la publication à distance.
On pourra donc saluer l’effort de la communauté à sécuriser chaque jour un peu plus cet excellent CMS.