WordPress 5.6, la dernière version majeure prévue pour 2020, est sorti aujourd’hui, le 8 décembre 2020. Il comprend quelques fonctionnalités et mises à jour majeures, ainsi qu’un grand nombre d’améliorations mineures et de corrections de bogues. Quelques changements ont des implications immédiates pour la sécurité et la compatibilité que nous avons soulignées dans cet article pour les utilisateurs de WordPress.

Les mots de passe d’application ajoutent des fonctionnalités et des risques

WordPress 5.6 viendra avec une nouvelle fonctionnalité qui permet aux applications externes de demander l’autorisation de se connecter à un site et de générer un mot de passe spécifique à cette application. Une fois que l’accès a été accordé à l’application, elle peut effectuer des actions pour le compte d’un utilisateur via l’API REST WordPress.

Malheureusement, l’ingénierie sociale d’un administrateur de site pour l’octroi de mots de passe d’application à une application malveillante est triviale. Un attaquant pourrait inciter un propriétaire de site à cliquer sur un lien demandant un mot de passe d’application, en nommant son application malveillante comme il le souhaite:

Page de connexion WordPress avec texte "Veuillez vous connecter au blog SG pour autoriser toute personne qui en a envie à se connecter à votre compte"

Pire encore, les URL de demande de mot de passe d’application sont configurées pour envoyer le nouveau mot de passe généré au site du demandeur via une URL de redirection. Étant donné que les mots de passe d’application fonctionnent avec les autorisations de l’utilisateur qui les a générés, un attaquant pourrait les utiliser pour prendre le contrôle d’un site Web. Nous avons montré comment un attaquant pouvait utiliser un attaque d’ingénierie sociale à l’aide de mots de passe d’application sur Wordfence Live.

Pour cette raison, la dernière version de Wordfence, 7.4.14, désactive les mots de passe d’application par défaut. Si vous avez un cas d’utilisation spécifique pour les mots de passe d’application et que vous souhaitez réactiver les mots de passe d’application, vous pouvez le faire sous Wordfence-> Pare-feu-> Gérer la protection Brute Force:

Paramètres de Wordfence pour désactiver les mots de passe d'application
Malgré le risque, les mots de passe d’application sont susceptibles d’offrir une certaine utilité à l’avenir. Certains exemples de la façon dont ils pourraient être utilisés incluent la publication de publications sur un site WordPress à partir d’autres interfaces, l’accès ou la mise à jour de données dans la base de données WordPress, ou même la création d’utilisateurs.

Cette fonctionnalité est, en apparence, similaire à XML-RPC, mais l’API REST offre des capacités beaucoup plus larges. De plus, les mots de passe d’application sont générés en toute sécurité et comportent 24 caractères, de sorte que les attaques par force brute et par bourrage d’informations d’identification ont peu de chances de réussir.

Si vous décidez d’utiliser des mots de passe d’application, nous vous recommandons vivement de configurer un utilisateur avec des autorisations minimales, idéalement avec uniquement les capacités nécessaires spécifiquement pour l’application à laquelle vous souhaitez vous connecter.

La mise à jour jQuery continue

WordPress 5.5, sorti en août 2020, a supprimé le script jQuery Migrate. Cela a amené de nombreux sites utilisant des plugins dépendants des anciennes versions de jQuery à rencontrer des problèmes.

Si votre site a été affecté et que vous utilisez actuellement le Activer jQuery Migrate Helper plug-in pour contourner ces problèmes, vous voudrez vous assurer que votre site fonctionne sans lui avant mise à jour vers WordPress 5.6.

En effet, WordPress 5.6 mettra à jour vers la dernière version de jQuery et ajoutera jQuery Migrate 3.3.2, qui peut entrer en conflit avec la version réactivée par le Activer jQuery Migrate Helper plugin, qui est jQuery Migrate 1.4.1.

WordPress utilise des versions obsolètes de la bibliothèque jQuery depuis plusieurs années maintenant.

WordPress 5.6 est l’étape 2 d’un plan en 3 étapes pour obtenir WordPress sur une version à jour de jQuery. Ce plan a été:

  • WordPress 5.5: Supprimez le script jQuery Migrate 1.x. (Août 2020)
  • WordPress 5.6: Mettez à jour les derniers scripts jQuery, jQuery UI et jQuery Migrate. (Décembre 2020)
  • WordPress 5.7: Supprimez le script jQuery Migrate. (Mars 2021)

En raison de cette chronologie, la compatibilité jQuery est en fait beaucoup plus urgente que la compatibilité PHP 8.0. Les développeurs de plugins et de thèmes devraient utiliser les prochains mois avant la sortie de WordPress 5.7 pour effectuer une transition complète de leur code afin qu’il soit compatible avec la dernière version de jQuery sans l’aide de jQuery Migrate.

Bien que des correctifs de sécurité aient été rétroportés dans les versions de jQuery utilisées par les versions précédentes de WordPress, de nombreux outils, tels que Google’s Lighthouse, ont signalé que les sites WordPress étaient vulnérables en raison de l’exécution d’une ancienne version de jQuery. Une bonne nouvelle est que ces outils d’audit de site ne devraient plus montrer que les sites WordPress 5.6 sont vulnérables.

WPTavern a un excellent article cela donne plus de détails sur la situation.

Compatibilité PHP 8

WordPress 5.6 est destiné à être «compatible bêta» avec PHP 8. Cela signifie que lors d’une utilisation normale, un site exécutant WordPress 5.6 sur PHP 8 avec un thème par défaut et sans plugins ne rencontrera probablement aucun problème. Notre article précédent plonge dans certains des défis auxquels les auteurs de plugins seront confrontés en ce qui concerne la compatibilité avec PHP 8.

Si vous êtes un propriétaire de site WordPress typique utilisant un bon nombre de plugins, il peut s’écouler un certain temps avant que la mise à jour vers PHP soit en toute sécurité 8. D’un autre côté, si vous créez un tout nouveau site à partir de zéro, vous être capable de devancer de nombreux problèmes en commençant par la dernière version de PHP et WordPress.

Mises à jour automatiques des versions majeures

Nous avons discuté mises à jour automatiques dans le passé, et comment ils peuvent être essentiels pour certains cas d’utilisation et potentiellement catastrophiques pour d’autres. Actuellement, WordPress core applique automatiquement des mises à jour mineures, qui sont généralement beaucoup plus sûres que les mises à jour automatiques des plugins en raison de tests approfondis.

À partir de WordPress 5.6, tous Nouveau Les installations WordPress recevront des mises à jour automatiques pour Majeur versions. Cela signifie que si vous créez un nouveau site WordPress avec WordPress 5.6, il sera automatiquement mis à jour vers WordPress 5.7 lors de sa sortie. Bien que cela ait une plus grande probabilité de causer des problèmes, gardez à l’esprit que les problèmes les plus probables seront avec des plugins incompatibles, qui seront beaucoup moins fréquents sur les nouveaux sites.

Les sites existants qui ont mis à jour WordPress 5.6 à partir des versions précédentes conserveront le comportement actuel de mise à jour automatique uniquement pour les versions mineures et les correctifs de sécurité, de sorte que les propriétaires de sites actuels n’ont pas à s’inquiéter à ce sujet. Si vous le souhaitez, le propriétaire actuel du site peut désormais opter pour les mises à jour automatiques des versions majeures et même les versions bêta et RC.

Un tout nouveau thème

Puisque la version 5.6 est la dernière version majeure de WordPress à sortir pour 2020, elle inclut un nouveau thème par défaut pour l’année prochaine, intitulé Twenty Twenty-One. Comme les précédents thèmes WordPress par défaut, il est basé sur un thème existant, Graine, et est assez minime, bien qu’il inclut la prise en charge du mode sombre.

Conclusion

WordPress 5.6 inclut un certain nombre de modifications, d’améliorations et de corrections de bogues, dont beaucoup que nous n’avons pas couvertes. Nous nous sommes concentrés sur les éléments que nous estimons les plus pertinents pour nos utilisateurs et les plus susceptibles de causer des problèmes. Comme pour toutes les mises à jour majeures de WordPress, le fait que vous souhaitiez ou non mettre à jour immédiatement dépendra de votre cas d’utilisation. Il existe un certain nombre de nouvelles fonctionnalités prometteuses ainsi qu’un potentiel de douleurs de croissance, mais celles-ci seront applicables aux développeurs plutôt qu’aux utilisateurs.

Remerciements particuliers au responsable QA Matt Rusnak et à l’analyste des menaces Chloé Chamberland pour leurs découvertes et leur aide avec cet article.


Source link