English 
Français WordPress 6.7 est sorti en novembre 2024 avec plusieurs correctifs de sécurité importants. Voici ce qui a changé et pourquoi vous devez absolument mettre à jour si ce n’est pas encore fait.
Les vulnérabilités corrigées dans WordPress 6.7
Faille XSS dans le bloc Query Loop
Une vulnérabilité de type Cross-Site Scripting (XSS) a été identifiée dans le bloc Query Loop de l’éditeur Gutenberg. Elle permettait à un utilisateur avec les droits « Contributeur » d’injecter du JavaScript dans une page, potentiellement exécuté pour d’autres utilisateurs connectés.
Contournement de l’authentification via XML-RPC
Bien que XML-RPC soit désactivé par défaut depuis plusieurs versions, des configurations spécifiques permettaient encore dans certains cas de contourner l’authentification à deux facteurs. Ce correctif renforce la validation des jetons d’authentification.
Injection SQL dans l’API WP_Query
Dans des configurations très spécifiques, une requête malformée transmise via WP_Query pouvait théoriquement déclencher une injection SQL. Ce type de faille est parmi les plus critiques car il permet un accès direct aux données de la base.
Quels sites sont concernés ?
Tous les sites WordPress antérieurs à la version 6.7 sont potentiellement exposés à ces failles. La mise à jour automatique s’applique sur les installations WordPress avec les mises à jour automatiques activées. Vérifiez votre tableau de bord : si vous voyez « Mise à jour disponible », agissez maintenant.
Comment savoir si votre site est affecté ?
Un scan rapide de votre installation WordPress permet de vérifier la version installée et de détecter d’éventuels signes de compromission. Utilisez notre outil gratuit pour obtenir un diagnostic en quelques secondes.
Très bon article, merci pour les explications claires. J’avais justement eu un souci avec mon site il y a quelques semaines et je n’aurais pas su par où commencer sans ce genre de guide.
Est-ce que vous avez un article sur la configuration de Wordfence après un scan ? Je cherche à savoir quelles alertes prioriser. En attendant j’ai trouvé ça utile : https://wordpress.org/documentation/article/hardening-wordpress/
Merci pour cet article très complet. Pour compléter, j’utilise aussi ce guide pour durcir la config après le scan : https://wordpress.org/documentation/article/hardening-wordpress/ — ça va bien de pair avec votre approche.
Merci pour cet article très utile ! Pour aller plus loin sur le durcissement, le guide officiel WordPress est une excellente ressource complémentaire.