Ce mois-ci sur WordPress : Tour des Actualités de Mai

WordPress a franchi une étape importante en mai : son 20e anniversaire ! Les communautés WordPress du monde entier ont organisé des événements Meetups pour célébrer cet événement.

Mais cela n’a pas permis à tous les membres de l’écosystème WordPress de s’asseoir et de se détendre. En effet, nous avons eu deux versions de maintenance et de sécurité, ainsi que le planning de WordPress 6.3. En outre, de nombreuses extensions populaires ont reçu d’importantes mises à jour pour corriger des problèmes de vulnérabilité.

Le 20e anniversaire de WordPress

Les communautés WordPress du monde entier ont célébré les 20 ans de WordPress. Qu’il s’agisse de fêtes privées ou d’ateliers interactifs, chaque communauté a sa propre façon de commémorer cet événement.

Hostinger a également honoré cette étape. Nous avons réalisé un podcast avec Tammie Lister, une contributrice prolifique, pour parler de l’évolution de Gutenberg et de la façon dont l’expérimentation et le retour d’information alimentent le développement de WordPress.

Regardez le podcast complet sur notre chaîne YouTube ou lisez le résumé de l’article de blog.

La publication de l’édition spéciale du blog « Success à l’Honneur » est un autre hommage que nous avons rendu. Nous avons interviewé quatre de nos clients et avons découvert comment ils utilisent WordPress pour réussir en ligne :

• Lotte Johansen  – avocate de l’accessibilité du web.
• Verônica Naka – architecte et directeur général de Nakasa
• Phoebe Poon – PDG et cofondateur de Liker Land et Web3Press plugin
• Michelle Frechette – marketeur et podcasteur d’Audacity Marketing

Mises à jour de WordPress

Ce qui est intéressant, c’est que le mois où WordPress célèbre son anniversaire a été l’un des mois les plus chargés pour le projet de base. Nous avons publié deux nouvelles versions en l’espace de quatre jours.

WordPress 6.2.1 et 6.2.2

WordPress 6.2.1 et 6.2.2 ont été publiées le 16 et 20 mai 2023, respectivement. Que s’est-il passé ?

WordPress 6.2.1 a corrigé 20 bugs de base et 10 bugs d’édition. Mais surtout, il a corrigé cinq problèmes de sécurité, dont les vulnérabilités CSRF (Falsification des Requêtes Intersites) et XSS (Scripts intersites), le contournement de l’analyse KSES et la vulnérabilité transversale.

Cependant, il restait un problème de sécurité dû à l’analyse des codes court dans les données générées par l’utilisateur dans les thèmes de blocs. Cela signifie que les attaquants pourraient utiliser le contenu généré par l’utilisateur, comme les commentaires des articles, pour exécuter des codes court, ce qui entraînerait des risques d’exploitation.

Le problème est que WordPress 6.2.1 a corrigé le problème en supprimant la prise en charge des codes court dans les modèles de blocs. Malheureusement, cette solution rapide a brisé des centaines de sites web qui s’appuient sur des thèmes de blocs et des codes court.

Mises à jour de Gutenberg

Toutes ces mises à jour de la maintenance du core de WordPress et la planification des versions n’ont pas interrompu le cycle de publication de Gutenberg, avec deux nouvelles versions lancées ce mois-ci. Si vous êtes un utilisateur de thème de bloc, nous vous recommandons d’installer cette extension pour avoir des fonctionnalités étendues pour l’éditeur de bloc.

Voici quelques-unes des fonctionnalités marquantes des deux versions de Gutenberg publiées ce mois-ci – 15.7  et 15.8 :

Menu des Pages dans la Barre de Navigation

Supposons que vous personnalisez votre site à l’aide de l’éditeur de site et que vous ayez besoin de modifier une page. Au lieu de retourner au tableau de bord et d’ouvrir le panneau Pages, vous pouvez le faire immédiatement à partir de l’éditeur de site, grâce au menu Pages situé dans la barre latérale gauche. Il affichera les 10 pages les plus récemment mises à jour parmi lesquelles vous pourrez choisir.

Révisions des styles globaux UI.

Le suivi des révisions est l’une des choses les plus délicates à faire dans WordPress, mais cela a été amélioré avec l’interface de révision pour les styles globaux. Vous pouvez maintenant revenir aux styles précédents en utilisant l’interface de révision.

L’outil de révision est accessible par l’intermédiaire de l’icône en forme d’ellipse dans le panneau des styles généraux. Il vous indique le nombre de révisions disponibles, les horodatages et les utilisateurs qui ont apporté les modifications. Pour revenir en arrière, sélectionnez l’une des versions et cliquez sur Appliquer.

Nouveaux contrôles dans le panneau des paramètres du bloc

Deux blocs ont été dotés de nouveaux outils dans leur panneau de configuration respectif afin de simplifier l’expérience d’édition.

Tout d’abord, le bloc du logo du site dispose désormais d’un outil permettant d’ajouter, de remplacer ou de réinitialiser l’image. Bien que cette fonctionnalité soit identique à celle de l’espace réservé du bloc et de l’outil de la barre d’outils, elle aide les personnes qui préfèrent travailler sur le bloc via le panneau de configuration.

Deuxièmement, le contrôle duotone est désormais disponible dans le panneau de configuration du bloc, plus précisément dans l’onglet Styles. Comme dans le cas du bloc du logo du site, la fonctionnalité de cette fonction est la même que celle du contrôle duotone sur la barre d’outils. Cela dit, le fait de l’avoir dans le panneau de configuration du bloc élimine la nécessité de faire des allers-retours entre ces deux zones pour procéder à la personnalisation.

Programme WordPress 6.3

La prochaine version majeure de WordPress sera la version 6.3, et l’équipe principale a terminé la planification et le calendrier avec les dates suivantes :

• Première version bêta : 27 juin 2023
• Première version candidate : 18 juillet 2023
• Publication de WordPress 6.3 : 8 août 2023

Tester les versions bêta ou version candidate « release candidate » peut vous donner un aperçu des nouvelles fonctionnalités et permet de tester le fonctionnement de votre site web avec la version à venir. Si vous souhaitez apporter votre contribution, signalez tous les bugs que vous avez découverts sur le forum WordPress.

Actualités sur la Sécurité de WordPress

Les développeurs des extensions n’ont pas été inactifs en mai, car de nombreuses vulnérabilités ont été découvertes. Nous avons parcouru la base de données Patchstack et mis en évidence certaines extensions populaires exposées à des risques de sécurité.

Mais ne vous inquiétez pas. Les développeurs ont résolu les problèmes grâce aux mises à jour. Il vous suffit de vérifier si vous utilisez la dernière version de l’extension et de la mettre à jour si nécessaire.

 

Elevation de Easy Digital Downloads 

Score CVSS: 9.8 (Vulnérabilité Critique)

Fin avril 2023, une vulnérabilité avec élévation de privilèges a été découverte dans l’extension  Easy Digital Downloads. Elle permet aux utilisateurs, quel que soit leur rôle, d’exécuter n’importe quelle fonction avec le préfixe edd_.

Ce préfixe est utilisé dans la fonction de réinitialisation du mot de passe. Tout utilisateur malveillant peut réinitialiser le mot de passe de n’importe quel utilisateur, y compris l’administrateur, pour autant qu’il connaisse le nom d’utilisateur et, ainsi, prendre le contrôle du site web.

Étant donné que Easy Digital Downloads est l’un des extensions e-commerce les plus populaires pour la vente de biens numériques, de telles vulnérabilités peuvent causer beaucoup de dégâts.

Heureusement, la version 3.1.1.4.2, qui corrige ce problème, a été publiée au début du mois. Si vous utilisez encore l’ancienne version, nous vous conseillons vivement de la mettre à jour dès que possible.

Élévation de privilèges dans Essential Addons for Elementor

Score CVSS : 9.8 (Vulnérabilité Critique)

Une vulnérabilité d’élévation de privilèges a également été trouvée dans l’extension Essential Addons for Elementor. En raison de la fonction de réinitialisation du mot de passe qui modifie directement le mot de passe de l’utilisateur au lieu de valider la clé de réinitialisation, il est possible de réinitialiser le mot de passe de n’importe quel utilisateur, à condition que l’attaquant connaisse le nom d’utilisateur.

Comme dans le cas de la vulnérabilité d’Easy Digital Downloads, un pirate peut réinitialiser le mot de passe d’un administrateur et prendre le contrôle du site web. Le pire, c’est que cette extension est installée sur plus d’un million de sites web et que la base de données de Patchstack montre que des pirates ont exploité cette vulnérabilité.

La vulnérabilité affecte les versions 5.4.0 à 5.7.1. Le correctif pour ce problème a été publié dans la version 5.7.2, donc si vous utilisez cette extension, assurez-vous d’avoir installé cette version ou une version plus récente.

Vulnérabilité d’Injection SQL dans LearnDash

Score CVSS : 8.5 (Haute Gravité)

Le populaire extension WordPress LMS – LearnDash, a été exposé à une vulnérabilité par injection SQL. Ce type de problème de sécurité permet à des utilisateurs malveillants d’accéder à la base de données et à des informations sensibles, notamment des données clients.

Cette vulnérabilité peut donc être extrêmement préjudiciable aux entreprises, d’autant plus que LearnDash est très probablement utilisé par les sites de cours en ligne.

Ce problème concerne la version 4.5.3 ou inférieure de LearnDash. Si vous utilisez LearnDash sur votre site, mettez à jour vers la version 4.5.3.1 ou une version plus récente pour éliminer le risque.

Vulnérabilité XSS d’Advanced Custom Fields

Score CVSS : 7.1 (Haute Gravité)

Les versions gratuite et premium d’Advanced Custom Fields (ACF) ont été exposées à une vulnérabilité de type cross-site scripting (XSS). Si vous ne connaissez pas cette vulnérabilité, sachez qu’elle permet aux pirates d’injecter du code ou des scripts malveillants. Il peut en résulter un large éventail de conséquences.

Le rapport de Patchstack indique que cette vulnérabilité pourrait conduire au vol de données sensibles et à l’élévation des privilèges de l’utilisateur. Bien qu’ACF soit l’un des extensions de champs personnalisés les plus populaires avec plus de deux millions d’installations, Patchstack affirme qu’aucune exploitation n’a été détectée.

La vulnérabilité affecte la version 6.1.5 ou inférieure, et il est recommandé aux utilisateurs gratuits et premium de mettre à jour vers la version 6.1.6.

Vulnérabilité de l’API Jetpack

L’équipe de Jetpack a découvert une vulnérabilité de l’API au cours de l’un des audits de sécurité internes. Cette faille permet aux auteurs du site de modifier tous les fichiers d’installation de WordPress, un privilège habituellement réservé aux administrateurs.

L’API elle-même est disponible sur les versions 2.0 à 12.1 de Jetpack. En conséquence, l’équipe publie un correctif pour chaque version afin de corriger cette vulnérabilité, la dernière version étant la version 12.1.1.

Jetpack forcera la mise à jour des extensions sur la plupart des sites web avec la version vulnérable. Cela dit, nous vous recommandons de vérifier votre site web si vous utilisez Jetpack et de le mettre à jour immédiatement si nécessaire.

Prochainement en juin

Comme nous l’avons mentionné, la phase de test bêta pour la prochaine version majeure de WordPress commencera en juin, et il est toujours passionnant de voir les nouvelles fonctionnalités qui arrivent dans le noyau de WordPress.

Cependant, il y a un autre événement qui ravira encore plus la communauté WordPress.

WordCamp Europe 2023 aura lieu du 8 au 10 juin 2023 à Athènes, en Grèce ! Nous sommes fiers de soutenir cet événement en tant que sponsor Super Admin et nous sommes impatients de vous y voir. Si vous n’avez pas encore obtenu votre billet, il est encore disponible sur le site de WordCamp Europe.