La sécurité de WordPress est un sujet crucial pour tous les utilisateurs et développeurs de sites web. Récemment, une mise à jour importante a été publiée pour WordPress, visant à corriger une vulnérabilité critique. Cet article explore en détail cette mise à jour et ses implications pour la sécurité des sites WordPress.
Contexte de la Mise à Jour
Le 6 décembre 2023, WordPress a publié la version 6.4.2, qui inclut un correctif pour une chaîne de Property Oriented Programming (POP) introduite dans la version 6.4. Cette vulnérabilité, combinée à une faille distincte d’injection d’objet, pourrait permettre à des attaquants d’exécuter du code PHP arbitraire sur un site, menant à une prise de contrôle complète du site.
Analyse Technique
La vulnérabilité réside dans la classe WP_HTML_Token, introduite dans WordPress 6.4 pour améliorer l’analyse HTML dans l’éditeur de blocs. Cette classe comporte une méthode magique __destruct qui est automatiquement exécutée après le traitement de la requête PHP. Un attaquant capable d’exploiter une vulnérabilité d’injection d’objet aurait un contrôle total sur les propriétés on_destroy et bookmark_name, lui permettant d’exécuter du code arbitraire sur le site.
Le Correctif
Le correctif apporté est simple mais efficace. Il ajoute une méthode __wakeup à la classe WP_HTML_Token, qui génère une erreur dès qu’un objet sérialisé de cette classe est désérialisé, empêchant ainsi l’exécution de la fonction __destruct.
Recommandations
Il est fortement recommandé à tous les utilisateurs de WordPress de mettre à jour immédiatement leur site vers la version 6.4.2. Cette mise à jour est cruciale pour la sécurité du site, surtout si d’autres vulnérabilités sont présentes.
Conclusion
Cette mise à jour de WordPress souligne l’importance de maintenir les systèmes à jour pour garantir la sécurité des sites web. Partager cette information avec d’autres utilisateurs de WordPress est essentiel pour prévenir les risques de sécurité majeurs.
La maintenance de votre site WordPress permet des mises à jour régulières afin d’éviter les bugs et les problèmes de piratage.
Nous solutions de maintenance WordPress à partir de 59€ ht/ mois
