WordPress vise les anciennes versions de son logiciel

Si vous utilisez une très ancienne version de WordPress sur votre site Web, l’équipe du projet aimerait vous parler. Les personnes responsables de la production du système de gestion de contenu open source veulent effacer votre code de la surface de la terre.

Ne le prenez pas personnellement. WordPress souhaite simplement que vous passiez à une version plus récente de son logiciel gratuit pour améliorer la sécurité. Aaron Campbell, responsable à plein temps de l’équipe de sécurité open source WordPress, a tout expliqué lors d’une conférence à la conférence sur la sécurité organisée par DerbyCon au début du mois d’octobre.

Campbell a expliqué que même si WordPress est plus occupé que jamais à réparer les failles de sécurité de son logiciel, tout cela ne servira à rien s’il ne résout sans doute pas le plus gros problème de sécurité: les utilisateurs qui installent le logiciel gratuit mais ne le mettent pas à niveau. .

WordPress est de loin le site Web le plus populaire sur la planète, le CMS (système de gestion de contenu), ce qui signifie qu’il est utilisé par toutes les personnes. Cela inclut non seulement les responsables de l’informatique d’entreprise, mais également les solopreneurs et les personnes souhaitant simplement bloguer sur leurs propres sites. Cela crée une image de mise à jour vraiment inégale.

Lorsque le projet publie de nouvelles versions plus sécurisées de son logiciel, il ne peut pas compter sur tous les utilisateurs pour l’installer avec diligence. Campbell:

Le seul moyen d’amener les utilisateurs à mettre à niveau et à utiliser la version sécurisée est de le faire pour eux. C’est ainsi que nous avons abouti à des mises à jour automatiques.

En 2013, il a changé de code pour vérifier automatiquement les nouvelles mises à jour de sécurité et les mises à jour mineures, puis les installer automatiquement avec la sortie de WordPress 3.7. Cela ne signifie pas qu’il se mettra automatiquement à jour avec les nouvelles versions majeures (comme le passage de 3.7 à 3.8, par exemple). Les utilisateurs le font toujours manuellement. Mais cela signifie qu’ils obtiennent au moins des correctifs de sécurité, dans la mesure où ils ne désactivent pas la fonctionnalité manuellement.

WordPress teste ses correctifs de sécurité avec toutes les versions du logiciel à la version 3.7 afin que même les derniers correctifs de sécurité parviennent à ces sites. Coder et tester pendant cinq ans les versions de WordPress représente beaucoup de travail.

Au fur et à mesure que de nouvelles corrections de sécurité sont publiées, le travail de backport à partir de la version 3.7 augmente à partir de chaque version. Faire face à ces versions antérieures est un problème pour une équipe de sécurité composée presque entièrement de volontaires. Bien que les chiffres du projet révèlent que les deux tiers de tous les sites exécutant WordPress utilisent la dernière version, 4.9, il existe encore de nombreuses versions plus anciennes. Il faut que davantage de personnes utilisent les versions les plus récentes de WordPress. Mais comment? Campbell dit:

Nous ne voulons pas le faire en supprimant le support des anciennes versions que les gens utilisent encore.

Certains ont suggéré de mettre automatiquement à niveau toutes les versions 3.7 vers la version 4.1, mais c’est controversé; La mise à jour de votre logiciel sans votre consentement peut créer des problèmes de confiance. Campbell continue:

Nous essayons de trouver des moyens de faire évoluer ces versions automatiquement sans casser les sites pour les internautes. Nous essayons essentiellement d’essayer de supprimer ces versions de l’existence sur Internet et de faire progresser les gens.

Si vous êtes sur le point de publier dans la section commentaires suggérant à WordPress l’esprit de son entreprise, tenez compte des points suivants : Selon la société d’enquête sur les technologies Web W3Techs.com , ce projet, vieux de 15 ans, est de loin le système de gestion de contenu le plus populaire. environ 30% de tous les sites Web.

Avec un tiers des sites Web mondiaux exploités sur ce projet open source mis à jour volontairement, la discussion ne se limite pas à la souveraineté de votre propre site Web. Cela concerne la sécurité du Web lui-même. Environ 4,2% des sites Web activés pour WordPress exécutent des versions antérieures à la version 4.0 de WordPress. Si le projet manque de ressources pour reporter les correctifs vers ces versions et que celles-ci soient compromises, il ne s’agit pas simplement d’une infection localisée, c’est d’une épidémie.

Qu’est-ce que l’organisation a fait d’autre pour protéger ses utilisateurs pendant qu’elle s’attaque à ce problème? Une mesure consiste à arrêter le trafic malveillant pouvant exploiter son logiciel avant même qu’il n’atteigne un code vulnérable. Il a noué des relations avec des fournisseurs d’infrastructure tiers tels que Cloudflare et GoDaddy afin de bloquer le trafic exploitant les vulnérabilités au niveau du réseau.

Les développeurs de plugins sont une autre priorité. Un gros problème pour WordPress est que les attaques proviennent souvent de vulnérabilités dans les plugins tiers populaires. WordPress est un framework ouvert pour lequel les utilisateurs peuvent développer des fonctionnalités supplémentaires et les sites sont jonchés de code tiers qui complète les fonctions principales du système de gestion de contenu.

Les modifications de portage apportées à d’anciens logiciels risquent d’endommager les plug-ins installés. Le projet fonctionne donc avec certains des plus gros fournisseurs de plug-ins pour qu’il teste les correctifs avec leur code à l’avance. Il utilise également ces relations pour aider à mettre en évidence les problèmes de code susceptibles de générer des vulnérabilités en matière de sécurité, qu’il détecte en partie en scannant automatiquement le code dans le répertoire du plugin.

Un fait représente un gros défi pour WordPress qui essaie d’éliminer cet ancien logiciel: 2,4% des sites WordPress utilisent encore des versions antérieures à la version 3.7, ce qui signifie qu’elles ne peuvent pas les mettre à jour automatiquement. C’est quelque chose qui ne peut être combattu que par la formation des utilisateurs et les efforts de sensibilisation, ce qu’ils poursuivent également.

En attendant, avec l’augmentation de la popularité de WordPress, ces défis ne feront que grandir.

Laisser un commentaire