A peine 2 semaines que la grosse mise à jour de WordPress en 3.4 ne pointe son nez qu’il faut déjà faire une mise à jour et pas des moindre puisque cette fois-ci il y a urgence !

En effet le nouvel update WordPress (ouais ça fait bien de mettre des mots anglais, ça fait internatinal) corrige pas moins de 18 bugs et 3 failles de sécurités ! (ah ouais quand même).

Donc au lieux de lire l’article allez vite mettre à jour vos/votre CMS WordPress en 3.4.1 avant qu’on ne vous le hack !

Mise à jour

WordPress 3.4.1

Ce matin je vais dans l’admin de mon blog pour publier et un article et que vois-je ?Encore une mise à jour, pffffffffff ça me rappel PHPBB il y a quelques années…Et oui c’est aussi la rançon de la gloire de ce CMS qui est tellement utilisé qu’il fait l’objet de recherche de failles sans cesse !!!

Bon sinon c’est bien fait puisqu’on a un petit message qui nous indique de faire cette mise à jour

et un peu plus bas le petit bouton à cliquer pour aller faire cette mise à jour

Vous arrivez à la page habituelle qui vous conseille de faire une sauvegarde de votre base de données avant de lancer cette mise à jour, ensuite choisissez la mise à jour automatique correspondant au langage de votre WordPress (sinon c’est le plantage assuré mais vous devez être habitué non ?)

On croise les doigts pour que ça se passe bien et…

OUF ça s’est bien passé 🙂

Correction de 18 bugs !

C’est quand même 18 bugs qui vont être corrigé grâce à cette mise à jour, comme par exemple :

• règle et corrige le problème de certaines pages de templates n’étaient pas détectées
• problèmes d’adresses avec certaines catégories de liens permanant
• meilleur prise en main pour les plugins et les thèmes lançant incorectement le JavaScript
• ajout du support pour l’upload des images sur iOS 6 (iPhone et iPad)
• permission d’une technique courrament utilisé par les plug in pour l’activation du réseau
• meilleur compatibilité avec les serveurs fonctionnant avec certaines versions de PHP (5.2.4, 5.4) ou avec des configurations rares (mode sans échec, open_basedir), provoquant des messages d’erreur ou empêchant l’envoit d’emails.
• etc.

Correction de 3 failles de sécurité !

Bon bah faut mettre à jour alors puisque la version 3.4.1 corrige quelques problèmes de sécurités et la renforce. Ces problèmes ont été découvert par l’équipe de sécurité de WordPress qui les ont résolus :

• privilège critique escallation/XSS. Les administrateurs et les éditeurs en version multisites se voyaient autorisé accidentellement à utiliser unfiltered_html for 3.4.0
• ajout d’une protection CSRF
• blocage de l’accès aux posts restreins pour les auteurs et les contributeurs (tel que les les messages privés ou postes)
• dépréciation de wp_explain_nonce() qui pouvait révéler des informations non nécessaire
• requièrement à un thème enfant lorsque l’accord parental était demandé

Liste des fichiers modifiés :

Voici la liste des fichiers qui ont été modifiés :

• wp-login.php
• wp-includes/post-template.php
• wp-includes/class-wp-customize-manager.php
• wp-includes/update.php
• wp-includes/class-phpmailer.php
• wp-includes/version.php
• wp-includes/js/customize-preview.dev.js
• wp-includes/js/customize-preview.js
• wp-includes/class-wp-theme.php
• wp-includes/theme.php
• wp-includes/functions.php
• wp-includes/l10n.php
• wp-includes/class.wp-scripts.php
• wp-includes/class-wp-xmlrpc-server.php
• wp-includes/rewrite.php
• wp-includes/canonical.php
• wp-includes/capabilities.php
• wp-includes/script-loader.php
• wp-includes/class-wp-editor.php
• readme.html
• wp-admin/includes/plugin.php
• wp-admin/includes/update.php
• wp-admin/includes/meta-boxes.php
• wp-admin/includes/update-core.php
• wp-admin/customize.php
• wp-admin/js/common.js
• wp-admin/js/common.dev.js
• wp-admin/js/customize-controls.js
• wp-admin/js/customize-controls.dev.js
• wp-admin/load-scripts.php
• wp-admin/css/wp-admin.dev.css
• wp-admin/css/wp-admin.css
• wp-admin/about.php
• wp-admin/themes.php

source : codex.wordpress.org/Version_3.4.1