English 
Français WordPress 6.7 est sorti en novembre 2024 avec plusieurs correctifs de sécurité importants. Voici ce qui a changé et pourquoi vous devez absolument mettre à jour si ce n’est pas encore fait.
Les vulnérabilités corrigées dans WordPress 6.7
Faille XSS dans le bloc Query Loop
Une vulnérabilité de type Cross-Site Scripting (XSS) a été identifiée dans le bloc Query Loop de l’éditeur Gutenberg. Elle permettait à un utilisateur avec les droits « Contributeur » d’injecter du JavaScript dans une page, potentiellement exécuté pour d’autres utilisateurs connectés.
Contournement de l’authentification via XML-RPC
Bien que XML-RPC soit désactivé par défaut depuis plusieurs versions, des configurations spécifiques permettaient encore dans certains cas de contourner l’authentification à deux facteurs. Ce correctif renforce la validation des jetons d’authentification.
Injection SQL dans l’API WP_Query
Dans des configurations très spécifiques, une requête malformée transmise via WP_Query pouvait théoriquement déclencher une injection SQL. Ce type de faille est parmi les plus critiques car il permet un accès direct aux données de la base.
Quels sites sont concernés ?
Tous les sites WordPress antérieurs à la version 6.7 sont potentiellement exposés à ces failles. La mise à jour automatique s’applique sur les installations WordPress avec les mises à jour automatiques activées. Vérifiez votre tableau de bord : si vous voyez « Mise à jour disponible », agissez maintenant.
Comment savoir si votre site est affecté ?
Un scan rapide de votre installation WordPress permet de vérifier la version installée et de détecter d’éventuels signes de compromission. Utilisez notre outil gratuit pour obtenir un diagnostic en quelques secondes.
