Sur cette page: [cacher]
Votre site Web utilise-t-il déjà la dernière version de WordPress? Nous parlons de WordPress 5.6, également connu sous le nom de mise à jour Nina Simone. Il s'agit de la dernière version majeure du système de gestion de contenu prévue pour 2020, et il est sorti en décembre 8.
La mise à jour est accompagnée de nombreuses nouvelles fonctionnalités et améliorations mineures, et corrections de bugs. toutefois, les chercheurs en sécurité de Wordfence préviennent que certains des changements pourraient avoir des «implications immédiates pour la sécurité et la compatibilité».
WordPress 5.6 Implications de la libération
Mots de passe d'application
L'une des nouvelles fonctionnalités introduites dans la dernière version de WP permet aux applications externes de demander des autorisations pour se connecter à un site. Dans ce but, un mot de passe spécifique à l'application est généré. La fonctionnalité permet à l'utilisateur d'effectuer des actions via l'API REST WordPress, créer des problèmes.
"Malheureusement, l'ingénierie sociale d'un administrateur de site pour l'octroi de mots de passe d'application à une application malveillante est triviale," Wordfence met en garde. Comment exploiter cette nouvelle fonctionnalité? En incitant un propriétaire de site à cliquer sur un lien qui demande un mot de passe d'application, puis en nommant l'application malveillante.
Comme l'URL de demande de mot de passe de l'application envoie le nouveau mot de passe au site du demandeur à l'aide d'une URL de redirection, il y a plus à s'inquiéter.
«Étant donné que les mots de passe d'application fonctionnent avec les autorisations de l'utilisateur qui les a générés, un attaquant pourrait utiliser cela pour prendre le contrôle d'un site Web,»Expliquent les chercheurs. Ils ont même fait une démonstration vidéo de la façon dont les mots de passe d'application peuvent être abusés via l'ingénierie sociale..
jQuery
Vous avez peut-être remarqué que le script jQuery Migrate a été supprimé dans WP 5.5, causant de nombreux problèmes pour les plugins utilisant des versions plus anciennes de jQuery. Comme solution de contournement, de nombreux sites Web ont commencé à utiliser le plugin Enable jQuery Migrate Helper. Si votre site en fait partie, vous devriez vérifier s'il peut fonctionner sans le mettre à jour vers la version 5.6. Pourquoi devez-vous vérifier au préalable? Parce que la dernière version de WordPress met à jour la version jQuery, ajout de jQuery 3.3.2. Cela peut créer un conflit avec la version réactivée par le plugin Helper.
PHP 8
Avec la dernière version de WP, vous pouvez avoir des problèmes de compatibilité avec PHP 8, car il est uniquement «compatible bêta». Auteurs de plugins, en particulier, peut avoir des défis en termes de compatibilité. Si votre site Web utilise des plugins, vous n'êtes peut-être pas prêt à mettre à jour PHP 8. toutefois, si vous créez simplement un site Web, "Vous serez en mesure de devancer de nombreux problèmes en commençant par la dernière version de PHP et WordPress,"Comme le dit Wordfence.
Mises à jour automatiques
De la version 5.6 sur, toutes les nouvelles installations WordPress recevront Mises à jour automatiques pour les versions majeures. Un nouveau site fonctionnant sur version 5 sera automatiquement mis à jour pour 5.7 une fois qu'il est disponible. Cela peut causer divers problèmes, mais les plus probables seront avec des plugins incompatibles. Heureusement, les nouveaux sites Web seront moins touchés.
En conclusion
Les problèmes possibles que nous avons abordés dans cet article (basé sur le rapport de Wordfence) ne signifie pas que vous ne rencontrerez pas d’autres problèmes. toutefois, ce sont les plus pertinents pour les utilisateurs. Décider de mettre à jour vers WordPress 5.6 dépend de votre cas d'utilisation. La dernière version offre de nouveaux ajouts importants, et même s'ils s'avèrent gênants, les développeurs finiront par les réparer.