Cet article a été mis à jour il y a plus de 3 ans. Le contenu qu'il propose n'est peut-être plus à jour.

WordPress 3.0.4 WordPress vient tout juste d’être mis à jour par la communauté, et passe ainsi de la version 3.0.3 à la version 3.0.4.

Et là encore, nous n’avons rien de neuf à nous mettre sous la dent puisque c’est (encore) une mise à jour critique de sécurité (une faille XSS en l’occurrence). Mais que corrige t-elle ?

Le problème provenait du cœur de WordPress, et de sa librairie de « nettoyage » du code HTML appelée KSES, et qui est utilisée par WP lorsque l’on poste un article ou un commentaire par exemple. Avec cela, un utilisateur mal intentionné a la possibilité d’injecter du code directement dans votre site. On remerciera deux développeurs : Mauro Gentile et Jon Cave pour leur découverte de cette faille XSS.

Cette mise à jour 3.0.4 de WordPress modifie les fichiers suivants :

  • wp-includes/formatting.php
  • wp-includes/kses.php

Je vous invite donc à mettre à jour votre site le plus vite possible via le tableau de bord de votre blog, ou via votre logiciel FTP. Les liens suivants ont été supprimés car il existe des versions plus récentes de WordPress.

  • WordPress 3.0.4 (version française)
  • WordPress 3.0.4 (version US)

Pour rappel, la version précédente 3.0.3 de WordPress était également une simple mise à jour de sécurité pour les blogs utilisant la publication à distance.

On pourra donc saluer l’effort de la communauté à sécuriser chaque jour un peu plus la sécurité de cet excellent CMS.

Il ne nous reste donc plus qu’à attendre la nouvelle année et la version tant attendue de WordPress 3.1