En ouvrant ma boite de courriels ce matin, j’avais plusieurs messages.
Le premier date d’aujourd’hui 00h37 :
“Inscription d’un nouvel utilisateur sur votre blog Themes du Net :
Identifiant : administrator
E-mail : un-pseudo@yahoo.fr”
Tiens me dis-je, enfin un abonné qui n’est pas un “mail.ru” mais que je vais dégager de suite en raison du pseudo choisi.
Second courriel à 00h41 :
“Mot de passe oublié et changé pour l’utilisateur : administrator”
Mmm, pourquoi est-ce que je reçois un message qui devrait être adressé à cet “administrator” ?
Troisième courriel à 00h49 :
“Quelqu’un a demandé le renouvellement de son mot de passe pour l’URL et l’identifiant ci-dessous.
http://themes-du.net
Identifiant : admin
Pour renouveler votre mot de passe, cliquez sur le lien suivant. Autrement, ignorez cet e-mail et la demande ne sera pas prise en compte.
Lien”
Euh, je n’ai rien demandé moi, pas la peine de me tenter, je ne cliquerai pas.
4ème message à 00h50
“Mot de passe oublié et changé pour l’utilisateur : administrator”
Déjà c’est curieux, à l’heure de ces messages, j’étais devant mon PC avec mon Thunderbird activé. Bon, un peu inquiète mais n’ayant absolument pas le temps de m’occuper de ça, je pars travailler et ce n’est que dans l’après-midi que je tombe sur l’article de WordPress.org concernant une nouvelle mise à jour de WordPress, la 2.6.2.
Cette mise à jour devait être “bénigne”, avec la correction de quelques bugs par ci, par là. Mais voilà que, alertés par Stefan Esser d’une grosse faille de sécurité sur WordPress, cette mise à jour pour “paresseux” comme moi s’est transformée en urgence, si vous autorisez les inscriptions sur votre blog.
En effet, l’inscription permet sur WordPress 2.6.1 et les versions antérieures de générer un mot de passe au hasard simplement en entrant un nom d’utilisateur. Ce mot de passe n’est pas délivré au pirate donc le problème est en lui-même ennuyeux mais n’est pas considéré comme un exploit. Toutefois, cette attaque couplée à une faiblesse de la fonction mt_rand() peut être utilisée pour prédire le mot de passe généré.
Stefan Esser devrait publier les détails de cette attaque très bientôt, nous dit Ryan. Bien que ce piratage soit difficile à accomplir, la probabilité n’est pas nulle et les développeurs conseillent de passer à la version 2.6.2 aussitôt que possible.
Bon, en attendant, j’ai fermé les inscriptions sur Themes du Net et j’ai bien sûr fait ma mise à jour. Seulement, comme j’ai quatre blogs qui tournent sous WordPress, il n’est pas question de faire cette mise à jour manuellement. Donc, j’utilise l’extension WordPress Automatic Upgrade de keithdsouza et ronalfy.
L’installation est classique, téléchargez l’archive, décompressez-la sur votre serveur dans le répertoire Plugins puis activez-la dans l’onglet Extensions de votre console d’admin sur WP. Il n’y a plus qu’à suivre les instructions… en anglais (je me mettrai surement à la traduction de cette extension un jour prochain).
Je devrais me méfier lorsque je verrais ce genre de messages.
En attendant, mise à jour obligatoire vers 2.6.1
Vers 2.6.2 plutôt