Et oui ça faisait longtemps que notre Ami WordPress n’avait pas sortie une mise à jour, mais cette fois-ci c’est en urgence qu’il faut faire la mise à jour car il s’agit d’une faille de sécurité qui à été bouchée, donc vite avant de vous faire hacker votre WordPress, passez-le en 3.4.2

Mise à jour WordPress 3.4.2

Failles de sécurités !

La version 3.4.1 de WordPress du moi de juin corrigeait déjà des failles de sécurité comme je vous en avait parlé ici (mais aujourd’hui j’ai blog où je parle de WordPress et de SEO du coup je ne dirais plus rien à mon NIFOUNE de ces mises à jour).

En fait la mise à jour est sortie le 6 septembre, mais je ne l’avais pas vue passer, bizarre…

Et si je ne fais pas la mise à jour ?

Bah c’est pas grave, tu risques « juste » de tomber sur un p’tit malin qui va hacker ton WordPress alors pourquoi résister au plaisir de faire cette mise à jour en 3.4.2 ?

Tu as beaucoup de visiteurs et tu te dit qu’il vaut mieux attendre la nuit pour faire la mise à jour ? Mouais, c’est une excuse à la con, si tu te fais hacker dans la journée tes visiteurs ils penseront quoi ?

Bon alors pour te rassurer, lorsque tu lance la mise à jour une message apparait pour le signaler à tes visiteurs, ce message restera plus ou moins longtemps selon ta vitesse de connexion (j’ai fait la mise à jour en branchant mon iPhone à mon ordinateur et en étant en 3G et ça à pris quelques secondes…)

Comment on met à jour ?

Et bien comme d’habitude, rien d’exceptionnel, on va dans l’administration de WordPress et vous verrez un message vous indiquant qu’il y a une mise à jour

Donc là, soit on choisit la version française, soit anglaise si votre WordPress est en anglais (et surtout ne vous trompez pas sinon votre CMS ne va pas aimer)

Bien sur par prudence il vaut mieux faire une sauvegarde de votre base de données avant de lancer la mise à jour, mais si comme moi vous voulez vous la tenter « warrior » alors allez-y, faites vous plaisirs et cliquez ! (je l’ais fait sur plusieurs WordPress, sur divers hébergements et aucun soucis mais bon, ça peut toujours planter une mise à jour, surtout si vous avez des plug in un peu « underground » et surtout mal fait)

Mise à jour pour WordPress Multi Sites ?

J’ai testé sur des WordPress et sur WordPress Multisites et aucun problème, la mise à jour passe sans souci, ouf j’ai à nouveau le #kikitoudur (pj)

Enfin sauf qu’il faut savoir que pour un WordPress Multisites lorsque l’on a fait la mise à jour sur le domaine principal il faut encore activer cette mise à jour sur l’ensemble du réseau sinon il n’y a pas de mise à jour…

Dans l’admin principal vous verrez le message ci-dessous, cliquez su « mise a jour du réseau »

vous arriverez sur la page permettant de mettre à jour le réseau, il n’y a plus qu’à cliquer sur « Mettre à jour le réseau » et le script de mise à jour se lancera pour chaque site du réseau WordPress

le réseau de site va se mettre à jour 5 sites par 5 sites (enfin dans mon cas, mais j’ai pas encore des milliers de sites)

Donc selon le cas on cliquera 1 fois ou plusieurs fois sur « Sites suivants » et quand c’est terminé vous aurez un message pour vous indiquer que c’est terminé.

Quelles sont les failles ?

Dans la version 3.4.2 la table db_version in wp_options passe en 21707

Cette mise à jour fixe certaines failles de sécurités découvertes par l’équipe de WordPress :

• résoud le risque de HTML non filtré pour WordPress Multisite
• résoud un problème de privilège dans « Atom Publishing Protocol endpoint »
• accorde les opérations de pluging seuleument à travers de l’admin du réseau
• simplification des messages d’erreurs lors de failles d’envois de fichiers
• valide le paramètre passed to wp_get_object_terms()

Voici la liste des fichiers modifiés :

• wp-load.php (1 diff)
• wp-includes/class-wp-atom-server.php (11 diffs)
• wp-includes/taxonomy.php (1 diff)
• wp-includes/version.php (3 diffs)
• wp-includes/js/wp-lists.js (1 diff)
• wp-includes/js/tinymce/plugins/wpeditimage/editor_plugin.js (1 diff)
• wp-includes/js/tinymce/plugins/wpeditimage/editor_plugin_src.js (1 diff)
• wp-includes/js/tinymce/langs/wp-langs.php (1 diff)
• wp-includes/js/tinymce/wp-tinymce.js.gz (previous)
• wp-includes/js/plupload/wp-plupload.js (1 diff)
• wp-includes/js/plupload/wp-plupload.dev.js (2 diffs)
• wp-includes/js/imgareaselect/jquery.imgareaselect.dev.js (4 diffs)
• wp-includes/js/imgareaselect/jquery.imgareaselect.js (1 diff)
• wp-includes/js/wp-lists.dev.js (2 diffs)
• wp-includes/class-wp-customize-control.php (4 diffs)
• wp-includes/class-wp-theme.php (3 diffs, 1 prop)
• wp-includes/theme.php (1 diff)
• wp-includes/functions.php (2 diffs)
• wp-includes/load.php (2 diffs)
• wp-includes/class-wp-xmlrpc-server.php (1 diff)
• wp-includes/formatting.php (1 diff)
• wp-includes/rewrite.php (1 diff)
• wp-includes/capabilities.php (1 diff)
• wp-includes/class-oembed.php (1 diff)
• wp-includes/css/editor.dev.css (1 diff)
• wp-includes/css/editor.css (1 diff)
• wp-includes/class-wp-editor.php (1 diff)
• readme.html (1 diff)
• wp-admin/includes/class-wp-ms-themes-list-table.php (1 diff)
• wp-admin/includes/class-wp-upgrader.php (2 diffs)
• wp-admin/includes/meta-boxes.php (1 diff)
• wp-admin/includes/class-wp-plugins-list-table.php (1 diff)
• wp-admin/includes/update-core.php (3 diffs)
• wp-admin/includes/class-wp-themes-list-table.php (1 diff)
• wp-admin/js/post.dev.js (1 diff)
• wp-admin/js/link.js (1 diff)
• wp-admin/js/customize-controls.js (1 diff)
• wp-admin/js/link.dev.js (1 diff)
• wp-admin/js/post.js (1 diff)
• wp-admin/js/customize-controls.dev.js (2 diffs)
• wp-admin/index.php (6 diffs)
• wp-admin/plugins.php (2 diffs)
• wp-admin/setup-config.php (4 diffs)
• wp-admin/about.php (1 diff)

les infos complètes (en anglais of course) sur cette page

Et voilà il n’y a plus qu’à faire la mise à jour donc…

ps : si la mise à jour automatique ne fonctionne pas, allez voir le tuto de Loran