WordPress a déployé des mises à jour de sécurité défaillantes

Après que WordPress ait distribué une mise à jour de sécurité critique avec la version 5.5.2, corrigeant une faille d’exécution de code à distance et neuf failles supplémentaires, ils ont été forcé de sortir une deuxième mise à jour, puis une troisième mise à jour avec la version 5.5.3.

Le problème est lié au fait que la fonctionnalité de mise à jour automatique a accidentellement commencé à envoyer à 455 millions de sites Web une mise à jour de la version 5.5.2 qui a provoqué l’échec des nouvelles installations de WordPress. Après avoir réalisé l’erreur, ils ont freiné le déploiement et ont libéré par inadvertance une version Alpha de WordPress à télécharger pour certains clients.

Le problème a été corrigé rapidement le 30 octobre, mais pas avant que les opérateurs de sites aient signalé l’échec des nouvelles installations et que d’autres se plaignaient des pages de connexion d’administration cassées. WordPress a déclaré qu’une dernière mise à jour avec la version 5.5.3 était maintenant disponible.

«La version 5.5.2 a causé un problème lors de l’installation des packages ZIP disponibles sur WordPress.org pour les nouvelles versions de 5.5.x, 5.4.x, 5.3.x, 5.2.x et 5.1.x. Le problème ne concernait que les nouvelles installations WordPress sans fichier wp-config.php existant », a déclaré la société.

De mal en pis

«Alors que le travail était en cours pour préparer la version 5.5.3, l’équipe de publication a tenté de rendre 5.5.2 indisponible au téléchargement sur WordPress.org pour limiter la propagation du problème noté dans la section ci-dessus, car l’erreur n’affectait que les nouvelles installations. Cette action a entraîné la mise à jour de certaines installations vers une version préliminaire ‘5.5.3-alpha’ », a écrit l’équipe de développeurs.

La mise à jour alpha a causé plus de soucis que des problèmes techniques aux administrateurs du site. La version non prête pour les heures de grande écoute a installé les anciens thèmes par défaut «Twenty» et le plugin «Akismet» dans le cadre de la pré-sortie de 5.5.2-alpha.

wordpress

Les utilisateurs ont exprimé leur consternation et leur confusion quant au fait que les multiples sites qu’ils géraient ont commencé à afficher le message «BETA TESTERS: Ce site est configuré pour installer automatiquement les mises à jour des futures versions bêta» sur leur console d’administration.

«Ces thèmes et plugins n’ont pas été activés et restent donc non fonctionnels à moins que vous ne les ayez installés auparavant», explique WordPress. Il a expliqué que l’installation peut être rétablie à 5.5.2 en visitant le panneau de mise à jour (en visitant Tableau de bord> Mises à jour) et en cliquant sur le bouton Réinstaller WordPress. “Cela obtiendra une nouvelle copie de WordPress, mais n’affectera pas votre contenu ou les fichiers téléchargés.”

Alors que la plupart des clients WordPress, dans l’ensemble, n’ont signalé aucun problème technique, un certain nombre d’utilisateurs ont observé des anomalies de configuration inexpliquées. «Cela aurait-il pu changer quelque chose dans la configuration du serveur MySQL? J’utilise Moodle sur le même site que WordPress et tous mes sites Moodle reçoivent une erreur d’écriture dans la base de données », a écrit un utilisateur.

La mise à jour automatique testée

Les correctifs bâclés mettent en évidence les préoccupations des utilisateurs concernant le manque de contrôle sur la fonctionnalité de mise à jour automatique de WordPress.

«C’est encore une autre leçon sur la puissance du mécanisme de mise à jour automatique. Des centaines de millions de sites se comportent comme des zombies, faisant tout ce que la mauvaise API de mise à jour automatique lui dit de faire », a écrit Knut Sparhell sur le forum WordPress.

Un autre administrateur WordPress identifié comme pcdeveloper a fait remarquer que «c’est un problème de sécurité sérieux car un développeur non autorisé pourrait diffuser du code malveillant dans une mise à jour que personne d’autre ne vérifie…»

Sparhell a exprimé son exaspération de voir qu’il n’y avait pas de moyen simple d’activer et de désactiver les mises à jour automatiques de WordPress. «C’est inquiétant», dit-il.

wordpress page builder

WordPress permet aux utilisateurs de désactiver les mises à jour automatiques pour les mises à jour de maintenance et de sécurité majeures ou mineures. Cependant, comme l’a souligné Samuel Wood, un contributeur du forum WordPress, «Le moment semble opportun pour documenter une manière correcte et appropriée ‘d’arrêter’ une sortie en cours.»

«C’est en fait une fonctionnalité du programme de mise à jour et le résultat d’une tentative incorrecte d’arrêter les mises à jour pendant la préparation de la version 5.5.3», a écrit Wood.

Un autre développeur identifié comme @paulstenning a exprimé son inquiétude, déclarant: “J’ai ajouté ceci à wp-config.php sur tous nos sites pour le moment pour éviter tout autre problème pendant le week-end define (‘ WP_AUTO_UPDATE_CORE ’, false).»

Réponse officielle de WordPress

WordPress recommande à ses utilisateurs de passer à la version stable de 5.5.2.

«Cette version de maintenance corrige un problème introduit dans 5.5.2 qui rend impossible l’installation de WordPress sur un tout nouveau site Web qui n’a pas de connexion de base de données configurée. Cette version n’affecte pas les sites sur lesquels une connexion à une base de données est déjà configurée, par exemple via des programmes d’installation en un clic ou un fichier wp-config.php existant. »

Il a ajouté: «Si vous n’êtes pas sur 5.5.2, ou si les mises à jour automatiques des versions mineures sont désactivées, veuillez mettre à jour manuellement vers la version 5.5.3 en téléchargeant WordPress 5.5.3 ou en visitant Dashboard → Mises à jour et cliquez sur« Mettre à jour maintenant ». “

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x