WordPress vient tout juste d’être mis à jour par la communauté, et passe ainsi à la version 3.0.4. Cela, une vingtaine de jours à peine après le passage en 3.0.3.
Là encore, c’est (encore) une mise à jour critique de sécurité. Mais que corrige t-elle ?
Le problème provenait du cœur de WordPress, et de sa librairie de « nettoyage » du code HTML appelée KSES, et qui est utilisée par WordPress lorsque l’on poste un article ou un commentaire par exemple. Avec cela, un utilisateur mal intentionné a la possibilité d’injecter du code directement dans votre site. On remerciera deux développeurs : Mauro Gentile et Jon Cave pour leur découverte de cette faille.
Cette mise à jour 3.0.4 de WordPress modifie les fichiers suivants :
- wp-includes/formatting.php
- wp-includes/kses.php
Nous vous invitons donc à mettre à jour votre site le plus vite possible via le tableau de bord, ou via votre logiciel FTP. Pour rappel, la version précédente 3.0.3 de WordPress était également une simple mise à jour de sécurité pour les blogs utilisant la publication à distance.
On pourra donc saluer l’effort de la communauté à sécuriser chaque jour un peu plus cet excellent CMS.