WordPress 5.6 a été publié avec des dizaines d’améliorations et de nouvelles fonctionnalités. Code nommé Simone (honorant la chanteuse Nina Simone), WordPress 5.6 a rencontré une réponse positive, peut-être parce qu’il n’a rien cassé.
La substance de ce qui est nouveau dans WordPress 5.6 peut être décrite comme étant plutôt bonne, un peu plus et un problème moche.
Le bon
Activer jQuery Migrate Plugin mis à jour
Les deux dernières mises à jour ont été quelque peu difficiles en raison de la rupture de millions de sites Web ou d’une mise à jour accidentelle avec une version bêta de WordPress.
Le plus gros problème potentiel concernait les abandons et les mises à jour de jQuery Migrate.
WordPress 5.6 a réussi à éviter les problèmes de plug-in jQuery hérités rencontrés avec la mise à jour de WordPress 5.5 en août 2020. C’est la mise à jour qui a empêché les sites Web de fonctionner de multiples façons inattendues.
La raison pour laquelle ces problèmes ont été évités cette fois-ci est que WordPress 5.6 a mis à jour le plugin Enable jQuery Migrate afin d’éviter une répétition de plantages de sites Web.
Lorsque le plugin est actif et que l’éditeur est connecté, le plugin détecte jQuery obsolète et le consigne, en présentant un affichage en haut de la page pour signaler le problème.
Publicité
Continuer la lecture ci-dessous
Le plugin détecte les problèmes jQuery de page en page lorsque les pages sont servies à l’éditeur lors de sa navigation sur le site.
Il existe une option pour effectuer une journalisation similaire en utilisant les pages servies aux utilisateurs naviguant sur le site, mais WordPress avertit que cela pourrait créer une charge importante sur le serveur et recommande de ne pas l’activer.
Il existe une page de journal d’obsolescence qui affiche les plugins responsables des avertissements. Après la mise à jour d’un plugin, l’éditeur peut effacer l’ancien journal et reprendre la navigation pour voir si le plugin Activer jQuery Migrate détecte des problèmes supplémentaires.
WordPress a déclaré:
«Avec ce qui précède à l’esprit, le plugin Enable jQuery Migrate Helper a été mis à jour pour la version de WordPress 5.6, cela fournit un chemin de rétrogradation temporaire pour exécuter jQuery hérité sur un site en cas de besoin.
La raison pour laquelle cela est considéré comme une solution temporaire est que l’ancienne version de jQuery ne reçoit plus de mises à jour de sécurité et que la version héritée ne sera pas corrigée manuellement si quelque chose devait se produire et justifier des mises à jour. »
Publicité
Continuer la lecture ci-dessous
Le Meh
WordPress 5.6 est livré avec sa première version de WordPress qui est (quelque peu) compatible avec PHP 8, la dernière version de PHP sortie en novembre. Cependant, cette compatibilité est censée être considérée comme compatible bêta.
Parce que les nouvelles de compatibilité WordPress PHP 8 réussissent à être à la fois bonnes et moins que bonnes, elles finissent par être… meh.
Comme indiqué dans les instructions officielles de compatibilité WordPress 5.6 et PHP 8:
«WordPress Core vise à être compatible avec PHP 8.0 dans la version 5.6 (actuellement prévue pour le 8 décembre 2020).
… Des efforts importants ont été déployés pour rendre WordPress 5.6 compatible avec PHP 8, mais il est très probable qu’il reste des problèmes non découverts. »
Les éditeurs doivent d’abord tester avant de mettre à niveau leur version de PHP car les thèmes et les plugins à ce stade ne seront probablement pas prêts pour PHP 8.
C’est pourquoi l’annonce de WordPress a présenté la compatibilité PHP 8 comme l’une des premières étapes, en raison de bogues de compatibilité potentiels et parce que les thèmes et les plugins peuvent ne pas être encore compatibles.
Selon WordPress:
« La version 5.6 marque les premiers pas vers la prise en charge de WordPress Core pour PHP 8. »
Le moche
L’une des nouvelles fonctionnalités de la version 5.6 dont l’équipe WordPress est à juste titre fière contient également un inconvénient potentiel qui, si elle était pleinement exploitée, pourrait conduire à une prise de contrôle complète du site.
WP 5.6 introduit l’authentification API REST avec la fonctionnalité de mots de passe d’application
La fonctionnalité de mots de passe d’application permet à des applications tierces de se connecter à votre site Web et d’ajouter des fonctionnalités.
Selon WordPress:
«Grâce à la nouvelle fonctionnalité d’autorisation des mots de passe d’application de l’API, les applications tierces peuvent se connecter à votre site de manière transparente et sécurisée. Cette nouvelle fonctionnalité de l’API REST vous permet de voir quelles applications se connectent à votre site et de contrôler ce qu’elles font. «
Cependant, selon l’éditeur de plugin de sécurité WordPress Wordfence, une attaque d’ingénierie sociale pourrait être utilisée contre un administrateur de site pour obtenir des informations d’identification d’administrateur.
L’ingénierie sociale est une méthode de piratage qui repose sur des astuces pour fournir des informations ou un accès.
Par exemple, le phishing est une forme d’ingénierie sociale dans laquelle un attaquant peut envoyer un e-mail à une victime se faisant passer pour sa banque, lui demandant de réinitialiser ses informations de connexion.
Publicité
Continuer la lecture ci-dessous
Un lien dans l’e-mail mène à un site copieur qui ressemble à un site Web bancaire où la victime entre son nom d’utilisateur et son mot de passe qui sont ensuite récoltés pour accéder à son compte bancaire.
Wordfence décrit une attaque d’ingénierie sociale dans laquelle un criminel pourrait créer une application qui usurpe l’identité d’une application de confiance, amenant l’éditeur du site à émettre un mot de passe et à autoriser une connexion sécurisée à son site Web. Wordfence décrit la complexité de cette attaque comme « banal. »
Selon Wordfence:
«Un attaquant pourrait tromper le propriétaire d’un site en cliquant sur un lien demandant un mot de passe d’application, en nommant son application malveillante comme il le souhaite …
Étant donné que les mots de passe d’application fonctionnent avec les autorisations de l’utilisateur qui les a générés, un attaquant pourrait les utiliser pour prendre le contrôle d’un site Web. »
Wordfence a produit une vidéo décrivant et démontrant le potentiel d’une attaque d’ingénierie sociale compromettant la nouvelle fonctionnalité de mots de passe d’application:
Wordfence Description de la vulnérabilité des fonctionnalités des mots de passe des applications WordPress à l’ingénierie sociale
Présentation de WordPress 5.6
WordPress 5.6 est largement un succès. Il y a beaucoup de choses qui vont bien avec ça. Bien que ce ne soit pas une avancée majeure, il comporte des améliorations incrémentielles dans la fonctionnalité de conception de site et des améliorations de la fonctionnalité.
Publicité
Continuer la lecture ci-dessous
Le fait que cette version réussisse à éviter le drame des deux dernières versions fait de cette mise à jour une victoire étant donné qu’il reste encore quelques semaines en 2020.
Citation
WordPress 5.6 Avertissements, annonces et documentation
Article Wordfence:
WordPress 5.6 introduit un nouveau risque pour votre site: que faire
Annonce officielle: WordPress 5.6 «Simone»
Documentation de la version WordPress 5.6
Gérer les problèmes potentiels de jQuery dans WordPress 5.6
Auteur/autrice
