Une faille de sécurité sur le logiciel WordPress permet de réinitialiser le mot de passe d’un utilisateur connu (admin par exemple…). Cela consiste à faire une requête du type http://SERVERNAME/wp-login.php?action=rp&key[]= (soumettre une key[] vide permet apparemment de rendre inutile la vérification par mail). Il est donc conseillé de mettre à jour WordPress en version 2.8.4 (voici le patch pour passer de la version 2.8.3 à 2.8.4).
J’en profite pour rappeler quelques notions basiques pour sécuriser une installation d’un logiciel PHP, surtout quand il est très répandu : si possible, limiter les accès aux parties backoffice via Apache (restriction par adresses IP et/ou authentification HTTP), utiliser des identifiants originaux (pas forcément admin…), des mots de passes complexes, éviter les modules/plugins non fiables, suivre les notifications de mises-à-jour et les appliquer rapidement (cela implique de limiter les modifications intrusives empêchant des futures mises-à-jour, ou du moins les préparer sous forme de patch pour les ré-appliquer très rapidement), etc. Pour le premier point, voici un exemple de sécurisation de WordPress via Apache :
<LocationMatch "^/wordpress/wp-(admin|login)"> Deny from all Allow from YOUR_IP </LocationMatch>
[…] par la proposition de Gregory Colpart, j’ai décidé moi aussi de bloquer l’accès à […]
Pour la suivante: (lire http://wordpress.org/development/2009/10/wordpress-2-8-5-hardening-release/ – des pti-trous, des pti-trous…)
http://dgeos.net/patch_wp-2.8.4-2.8.5.diff
(patch -p1 de l’install francisée)