Quelles sont les lunettes de prescription non http://belgiquepharmacie.be/ Unie de liberté de santé oxford

Une faille a été récemment découverte dans WordPress. Elle permet à quiconque de forcer la réinitialisation de mot de passe du compte admin (compte par défaut de WordPress).

Diverses “solutions” ont été apportées notamment par Korben ou encore par l’équipe de développement de l’outil de blogging.

Cependant ces correctifs sont crades : ils nous obligent à directement modifier le fichier wp-login.php de WordPress. Vous allez me dire que cela n’est pas gravisime compte tenu du fait qu’une mise à jour de WordPress sortira sous peu. Certes. Mais je déteste agir directement sur les sources de l’outil si ce dernier m’offre des points d’entrées pour arriver à mes fins depuis l’extérieur.

Ainsi, il vous suffit d’ajouter ce morceau de code dans le fichier functions.php de votre thème pour fixer le trou de sécurité.

1
2
3
4
5
6
7
8
9
10
11
12
function fixes_reset_password_security()
{
    global $wp_version;
 
    if (version_compare($wp_version, '2.8.3', '<=') &&
        false !== strpos(basename($_SERVER['SCRIPT_FILENAME']), 'wp-login.php') &&
        isset($_GET['key']) && is_array($_GET['key'])) 
    {
        unset($_GET['key']);
    }
}
add_action('init', 'fixes_reset_password_security', 1);
publicité (chargement)

8 réponses pour Correctif pour la faille WordPress de réinitialisation de mot de passe

  1. kReEsTaL dit :

    Super, merci piouPiouM!! Moi aussi je préfère mille fois ce genre de solutions propres. Je déteste toucher aux fichiers core de l’engin.

    N’empêche… ça commence à me gonfler toutes ces failles, ces temps-ci… :-S

  2. ShadowKris dit :

    Super :) Merci pour l’info ;D

  3. patpro dit :

    ouais, c’est pas vraiment ce que j’appelle “de l’extérieur” :) tu peux parfaitement coller un .htaccess dans ton rép. wp-admin et interdir le POST à tout le monde sauf à ton (ou tes) IP, ou encore l’interdir pour tout le monde sauf pour les utilisateurs authentifiés dans Apache (via un Realm Apache habituel).

    Tu peux aussi placer ton interface d’admin en https, ce qui évitera 99,99% des attaques. Bref, ce ne sont pas les solutions qui manquent.

  4. […] Si vous ne préférez pas toucher aux fichiers internes de WordPress, Medhi nous propose un correctifs à insérer dans le fichier "functions.php" de votre thème. Modifier la ligne 190 de votre fichier […]

  5. piouPiouM dit :

    Il faudrait ici également interdire le GET : la faille a pour pour point d’entrée une simple URL. J’ai volontairement fait l’impasse sur cette dernière.

  6. Gonzague dit :

    La page de login fait appel au fichier fonctions des thèmes ? :) wow je n’en avais même pas idée :D

  7. piouPiouM dit :

    @Gonzague En fait le fichier wp-login.php charge le fichier wp-load.php. Ce dernier va alors inclure le cœur de WordPress qui va par conséquent fonctionner comme à l’habituel.

    L’action init est donc gérée en amont du traitement de wp-login.

Ajouter un commentaire


Syndication

Réseaux sociaux