Fonction de mise à jour automatique cassée de WordPress

  • Oct 16, 2023

Grâce à un bug, vous devez patcher manuellement WordPress 4.9.3. Si vous ne le faites pas, vous serez bloqué sur WordPress 4.9.3 et vulnérable aux prochaines attaques WordPress.

Sécurité

  • 8 habitudes des travailleurs à distance hautement sécurisés
  • Comment trouver et supprimer les logiciels espions de votre téléphone
  • Les meilleurs services VPN: comment se comparent les 5 meilleurs?
  • Comment savoir si vous êtes impliqué dans une violation de données – et que faire ensuite

Vidéo: une faille Hotspot Shield révèle le nom et l'emplacement du réseau

Vingt-neuf pour cent de tous les sites Web utilisent WordPress. Avec 60 pour cent du marché des systèmes de gestion de contenu (CMS), WordPress surpasse tous les autres CMS. Ainsi, lorsqu'il y a des problèmes avec la sécurité de WordPress, beaucoup d'entre nous sont en difficulté. Dans sa dernière version, 4.9.3, WordPress s’est tiré une balle dans le pied en désactivant sa capacité à se mettre à jour automatiquement.

Selon Clôture de mots, un site de sécurité WordPress, "

WordPress 4.9.3 a été publié plus tôt cette semaine et incluait un bug qui interrompait la mise à jour automatique de WordPress.. Des millions de sites ont été mis à jour automatiquement de la version 4.9.2 vers WordPress 4.9.3, ce qui a brisé leur capacité à se mettre à jour automatiquement à l'avenir. »

Ce bug provoque une erreur PHP fatale lorsque WordPress tente de se mettre à jour. Cela interrompt le processus de mise à jour automatique et laisse le site sur 4.9.3 pour toujours. Si, comme la plupart des administrateurs WordPress intelligents, WordPress se corrige automatiquement, votre site sera verrouillé sur 4.9.3 et ne sera pas mis à jour vers des versions plus récentes pour éviter une sécurité supplémentaire de WordPress problèmes.

Dion Hulse, développeur principal de WordPress, a expliqué: «#43103-noyau visait à réduire le nombre d'appels API [Application Programming Interface] effectués lors de l'exécution de la tâche périodique de mise à jour automatique. Malheureusement, à cause d'une erreur humaine, le le commit final n'a pas eu l'effet escompté, et déclenche à la place une erreur fatale car toutes les dépendances de find_core_auto_update() ne sont pas remplies. Pour une raison quelconque, l'erreur fatale n'a pas été découverte avant la sortie de la version 4.9.3: elle a été découverte quelques heures après la sortie."

Pour résoudre ce problème, vous devez mettre à jour manuellement votre logiciel WordPress par l'une des méthodes suivantes :

  • Via la zone d’administration WordPress : Visitez votre tableau de bord WordPress > Mises à jour et cliquez sur « Mettre à jour maintenant ».
  • Avec WP-CLI: Si vous disposez d'un accès en ligne de commande à WordPress et que WP-CLI est installé, mise à jour principale de wp mettra à jour votre site aussi rapidement qu'avant.
  • Manuellement par FTP: Si vous préférez, vous pouvez mettre à jour par télécharger le dernier ZIP et en utilisant FTP pour le télécharger sur votre site. Les seuls fichiers modifiés attendus sont wp-includes/update.php et wp-includes/version.php.
  • Avec PHP: Si vous disposez d'un accès en ligne de commande, vous pouvez également mettre à jour WordPress simplement en exécutant wp_maybe_auto_update() dans WordPress. Par exemple: php -r 'include "wp-load.php"; wp_maybe_auto_update();'. C'est également ainsi que nous suggérons aux hébergeurs sur lesquels WP-CLI n'est pas installé de procéder à des mises à jour automatisées pour leurs clients.

Grâce à sa popularité, les sites WordPress sont souvent attaqués. S'appuyer uniquement sur la mise à jour automatique peut - et c'est le cas ici - revenir vous mordre. Au lieu de cela, vous devez garder un œil sur votre site et vous assurer qu’il est mis à jour. Comme ZDNet David Gewirtz a souligné, pour protégez votre site WordPress, tu devrais:

  • Si vous ne souhaitez effectuer aucune maintenance ou gestion, utilisez le service WordPress.com hébergé ou engagez quelqu'un pour gérer votre site.
  • Si vous souhaitez pouvoir personnaliser votre site, vous devez tout mettre à jour régulièrement. Cela vaut la peine d'investir dans un hébergement géré ou dans un service de maintenance pour faciliter cela.
  • Si vous essayez de tromper le jeu en téléchargeant gratuitement des plugins ou des thèmes commerciaux à partir de sites « hors marque », vous serez piraté. Pire encore, vous risquez de transmettre des logiciels malveillants aux visiteurs de votre site.

Tous les sites WordPress ne sont pas la proie de ce problème de mise à jour. Par défaut, la fonction de mise à jour automatique de WordPress ne met à jour que les versions mineures. Seuls les sites WordPress exécutant la version 4.9.2 auraient été automatiquement mis à jour vers la version 4.9.3, ce qui a interrompu la mise à jour automatique.

Enfin, tous les sites Web n’ont pas signalé avoir vu ce bug. Certains ont été automatiquement mis à jour vers la version 4.9.4. À l’heure actuelle, personne n’a trouvé de dénominateur commun entre les sites dont la mise à jour automatique a réussi.

Pourtant, il vaut bien mieux prévenir que guérir. Vérifiez votre site et s'il est toujours sur 4.9.3, mettez-le à jour manuellement en utilisant l'une des méthodes décrites ci-dessus.

Histoires connexes

  • Votre site Web est constamment attaqué
  • WordPress corrige un bug d'injection SQL dans la version de sécurité
  • WordPress: est-il sûr à utiliser pour mes sites Web ?