Une faille a été récemment découverte dans WordPress. Elle permet à quiconque de forcer la réinitialisation de mot de passe du compte admin (compte par défaut de WordPress).

Diverses “solutions” ont été apportées notamment par Korben ou encore par l’équipe de développement de l’outil de blogging.

Cependant ces correctifs sont crades : ils nous obligent à directement modifier le fichier wp-login.php de WordPress. Vous allez me dire que cela n’est pas gravisime compte tenu du fait qu’une mise à jour de WordPress sortira sous peu. Certes. Mais je déteste agir directement sur les sources de l’outil si ce dernier m’offre des points d’entrées pour arriver à mes fins depuis l’extérieur.

Ainsi, il vous suffit d’ajouter ce morceau de code dans le fichier functions.php de votre thème pour fixer le trou de sécurité.

1
2
3
4
5
6
7
8
9
10
11
12

function fixes_reset_password_security()
{
    global $wp_version;
 
    if (version_compare($wp_version, '2.8.3', '<=') &&
        false !== strpos(basename($_SERVER['SCRIPT_FILENAME']), 'wp-login.php') &&
        isset($_GET['key']) && is_array($_GET['key'])) 
    {
        unset($_GET['key']);
    }
}
add_action('init', 'fixes_reset_password_security', 1);

Continuez votre lecture sur des sujets similaires

• WordPress et SmartyPants : des légendes qui disparaissent
• Shortcode WordPress : intégrer un flux RSS
• Shortcode WordPress : afficher les documents liés aux billets
• WordPress : une classe abstraite pour aider la création de shortcodes
• WordPress : forcer le chargement de jQuery en bas de page