WordPress 5.2 « Jaco » débarque avec la possibilité de voir l'état de santé de votre site,
et la protection contre les erreurs fatales PHP

Nommée « Jaco » en l’honneur du bassiste de jazz Jaco Pastorius, la version 5.2 de WordPress est sortie le 7 mai 2019. Cette nouvelle version majeure de WordPress est riche en changements. Pas moins de 228 bogues, 59 améliorations, 3 nouvelles fonctionnalités, et 16 tâches de gestion ont été prises en charge avec cette version 5.2.

Protection contre les attaques de la chaîne d'approvisionnement

La version de WordPress 5.2 est livrée avec des signatures numériques hors ligne pour toutes les mises à jour essentielles comme mesure de défense contre les éventuelles attaques de la chaîne logistique, avec prise en charge des thèmes, des plug-ins et des traductions à livrer ultérieurement.

Cette nouvelle fonctionnalité complète le mécanisme de mise à jour automatique introduit par WordPress dans la version 3.7 du 24 octobre 2013 et permet d'empêcher les acteurs malveillants d'émettre une mise à jour en masse envoyant du code malveillant sur toutes les installations après avoir pris le contrôle de l'infrastructure WordPress.

Avant la version WordPress 5.2, cela pouvait être possible car aucun mécanisme de vérification de la signature n'était disponible pour les packages émis par le serveur de mise à jour.

De plus, comme « chaque site possède des mises à jour automatiques activées pour les versions de base mineures et les fichiers de traduction », selon le site de documentation WordPress, une telle attaque entraînerait l'infection immédiate d'environ 33,8% de tous les sites Web sur Internet (en se basant sur les statistiques de W3Techs qui estime que 33,8% des sites tournent sur WordPress).

Nom : word0.png
Affichages : 11272
Taille : 6,0 Ko

La fonctionnalité de signatures numériques hors ligne incluse dans la version de WordPress 5.2 constitue une « première couche de défense réelle contre une infrastructure de mise à jour compromise », comme l'explique Scott Arciszewski de Paragon Initiative Enterprises.

Paragon Initiative Enterprises était à l'origine de la proposition initiale de sécuriser WordPress contre les attaques d'infrastructure d'il y a deux ans. Le ticket a récemment été fermé il y a à peine deux semaines, après que de nombreuses suggestions aient été incluses dans la base de code de WordPress 5.2.

Comme Arciszewski l'explique:

« Avant WordPress 5.2, si vous vouliez infecter tous les sites WordPress sur Internet (environ 33,8% des sites Web à ce jour), il vous suffisait de pirater leur serveur de mise à jour. Ce faisant, vous pouvez tromper la fonctionnalité de mise à jour automatique en téléchargeant et en installant du code arbitraire, ce qui vous permettait de faire toutes sortes de choses néfastes (par exemple, créer le plus grand réseau de bot DDoS au monde).

« Après WordPress 5.2, vous devriez lancer la même attaque et vider la clé de signature de l’équipe de développement WordPress ».

Pour le moment, seules les mises à jour WordPress principales sont signées de manière cryptographique, les plugins et les thèmes recevront également le même traitement à l'avenir.

Une fonctionnalité de signature de code pour les développeurs est également prévue, leur permettant « de signer leurs propres versions et de publier ces signatures (et les métadonnées associées) dans un registre cryptographique comprenant uniquement des ajouts. Une fois cette opération effectuée, la mise à jour automatique de WordPress sera enfin sécurisée »

État de santé de votre site

Avec WordPress 5.2, un nouvel écran fait son apparition dans l’interface d’administration. Disponible dans le menu « Outils > Santé du site » du menu d’administration, cette fonctionnalité d’état de santé du site permet d’obtenir un grand nombre d’informations utiles sur la configuration de votre site. Deux écrans sont alors disponibles. Le premier permet d’obtenir un bilan de santé général de son site grâce à un panel de points de contrôle lancés de façon automatique.

Nom : word1.png
Affichages : 2445
Taille : 48,8 Ko

Les développeurs peuvent ajouter leur propres points de contrôle, comme dans l’écran ci-dessus (critères marqués « Search Engine Optimization » dans la capture d’écran).

Un second écran (accessible via l’onglet « Info ») permet d’obtenir des informations de débogage qui sont précieuses pour votre hébergeur ou pour les responsables techniques de votre site.

De la même façon, les éditeurs d’extensions peuvent ajouter leur propres points de contrôle dans cet outil. Cela leur permettra de faciliter le support de leur extension en indiquant à leurs utilisatrices et utilisateurs comment facilement récupérer ces informations et leur communiquer.

Protection contre les erreurs fatales PHP

WordPress intègre maintenant nativement un « mode de récupération » (recovery mode en anglais).

L’idée est simple : si un thème ou une extension plante votre site, plutôt que de vous fournir un classique « écran blanc de la mort » à partir duquel vous ne pouvez plus rien faire, WordPress désactivera automatiquement le thème ou l’extension associé au bogue. Si cela se passe en votre absence (via une mise à jour automatique par exemple) alors vous recevrez un e-mail contenant des informations sur le bogue rencontré et sur le fait que votre site est passé en mode de récupération.

Arrêt de la prise en charge des versions de PHP obsolètes

À partir de WordPress 5.2, le CMS ne sera plus compatible avec les versions de PHP inférieures à 5.6.20. Si vous utilisez une version de PHP antérieure, vous ne pourrez tout simplement pas réaliser la mise à jour vers WordPress 5.2. Si vous êtes dans ce cas là, rapprochez-vous de votre hébergeur afin de passer sur une version de PHP plus récente.

Éditeur / Gutenberg

De nombreuses améliorations ont été faites dans l’éditeur. En dehors des optimisations de performances et d’utilisabilité, citons notamment l’ajout d’un module block-editor réutilisable pour permettre l’utilisation de l’éditeur de façon indépendante de l’éditeur de publications, sans dépendance vis à vis des publications. Cela permettra de pouvoir l’utiliser dans d’autres écrans de l’administration WordPress, comme par exemple dans l’écran Widgets.

Accessibilité

Une amélioration du balisage des onglets utilisés dans l’administration WordPress a été intégrée, ainsi que du balisage des formats d’articles, de la barre d’administration, et le Widget de sélection d’archives d’articles a maintenant un meilleur fonctionnement sur les technologies d’assistance telles que les lecteurs d’écrans/synthèses vocales.

Confidentialité

Le composant Privacy (confidentialité) du cœur WordPress a été amélioré avec l’ajout de 4 nouvelles fonctionnalités pour rendre la personnalisation et le design de la page de politique de confidentialité plus simple. Certaines restrictions sur les exportations de données des utilisateurs ont également été assouplies.

Sources : WordPress (1, 2), W3Techs, Wordfence, ticket WordPress, Paragone

Voir aussi :

Un tiers des 10 millions de sites Web les plus populaires du Web utilisent désormais WordPress, d'après les statistiques publiées par la W3Techs
Parmi les sites CMS piratés en 2018, 90 % sont des sites WordPress et 97 % des sites PrestaShop piratés sont obsolètes, selon un rapport
Un ex-employé pirate le plugin WordPress WPML pour spammer les utilisateurs, se servant d'une backdoor qu'il avait laissée sur le site pour son usage
WordPress va afficher des notifications pour encourager les propriétaires de sites avec des versions obsolètes de PHP, à faire des mises à jour