Relayé par Korben hier, une faille s’est glissée sous le moteur de blog Wordpress. Depuis la mise à jour en 2.8 et les versions 2.8.1 à 2.8.3, un « bug » s’était donc invité et permettait à des petits malins de changer le mot de passe de l’administrateur du dit site.
Rien d’alarmant en soit puisque le malfaiteur ne pouvait que redemander un nouveau mot de passe et vous le recevez automatiquement dans votre boite mail. Le problème étant qu’avec un script, on peut vous réinitialiser le mots de passe toute les 2 secondes et du coup impossible de bloguer !
Pour y remédier donc, Korben donnait hier une partie de code à modifier, de son côté Stagueve expliquait que le simple fait de changer le nom à votre utilisateur « admin » par un autre (toto par exemple) résolvait le problème.
Ce matin Wordpress est arrivé en 2.8.4 réglant le problème mineur. Rien d’extraordinaire sur cette version et pour ceux qui souhaitent appliquer le correctif à la main suivez simplement ce qui suit :
Ouvrez votre fichier wp-login.php
A la ligne :
if ( empty( $key ) )remplacez la par :
if ( empty( $key ) || is_array( $key ) )
