Alerte Sécurité Wordpress en mode update automatique

0 votes
10,254 vues
question 13 Décembre 19 dans Annonces SAV par ladmin (2,272 points)  

Notre modèle de sécurité stricte interdit l'exécution de programmes php qui n'ont pas été uploadés par FTP.

Depuis quelques mises à jour, Wordpress promeut un mode de mise à jour dit de sécurité qui permet de les effectuer silencieusement sans FTP.

Pourquoi pas? A priori, si ça devient standard et que les usagers leur font confiance, ce n'est plus notre affaire. En attendant, ça pose des problèmes légaux de responsabilité.

Qui est responsable si wordpress ou l'auteur d'un plugin

- installe à 10 h une version qui autorise un pirate à importer la base de données, à établir un faux e-commerce ou publier des pages diffamatoires

- installe à 10 h 15 une version propre, rendant toute compréhension impossible

Qu'est ce qui garantit que cela n'arrivera jamais ?

Google, Yahoo, Dominix Pizza et j'en passe se sont fait voler des millions d'infos personnelles. Quelle est la protection de ce nouveau modèle?

Des auteurs incompétents en sécurité prétendent que seuls les modèles de faibles sécurités seront impactés. Quel est donc le modèle qui interdit la procédure de piraterie invisible et intraçable détaillée ci dessus ?

Le problème n'est pas la confiance en l'équipe Wordpress mais en une procédure qui met tout wordpress à la merci d'une poignée d'attaquants. En effet, le levier est puissant avec la mise à jour automatique.

Pour éviter cet abus de mise à jour, ajoutez à wp-config.php cette ligne

define( 'AUTOMATIC_UPDATER_DISABLED', true );

juste avant ce commentaire

/* C'est tout, ne touchez pas à ce qui suit ! Bon blogging ! */

 

 

 

 

 

 

 

 

commentée 13 Décembre 19 par ladmin (2,272 points)  
nous maintenons des sites wordpress. Rarement mais plusieurs fois quand même, les mises à jour échouent ou révèlent des bugs. La solution facile était de repartir de la sauvegarde effectuée en début de procédure. Là, il n'y a plus de sauvegarde préalable.
commentée 14 Décembre 19 par ladmin (2,272 points)  
Ne soyez pas timide, écrivez aux faq plutôt qu'au SAV :)

Oui, vous pouvez demander au sav d'effectuer la modif sur votre site. C'est fait pour les 2 wordpress du vôtre.

Se connecter ou S'inscrire pour répondre à cette question.

Feel free to ask and answer in english

Bienvenue sur les FAQ de 123.fr, posez vos questions ou répondez à celles des autres usagers.

...