Si vous n'avez pas encore fait la mise à jour vers 4.7.2, vous avez peut-être déjà été hacké. Une erreur a été introduite avec la version 4.7 (dans REST API)
Maintenant les hackers scannent le web pour défacer les sites qui ne sont pas à jour (et on risque aussi de voir des demandes de rançon)
https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/
https://blog.sucuri.net/2017/02/rce-attempts-against-the-latest-wordpress-rest-api-vulnerability.html
Merci pour le lien avec les détails de la faille où l'on peut lire :
> The RCE attempts we are seeing in the wild do not affect every WordPress
> sites, only the ones using plugins that allow for PHP execution from
> within posts and pages.
Cela veut dire que la faille n'est sans doute pas si générale que le sujet de ce post le laisse penser. Par contre cela confirme les risques liés à l'utilisation des plugins pour Wordpress…
Personnellement, je ne comprends pas la frénésie des mises à jour qui risquent d'ajouter autant - si ce n'est plus - de failles qu'elles n'en corrigent, sans parler des effets de bord des "évolutions" imposées.
En fait, le bon titre de ce post devrait être : "Wordpress gravement vulnérable" 
RCE attempts
Détrompte-toi.
Sans les plugins, on assiste à des défacements.
Avec les plugins c'est de l'exécution de commandes (**R**emote **C**ommand **E**xecution) dans le contexte du serveur web, c'est-à-dire un hack complet, site web et db à réinstaller.
Ok Fritz2cat, je me suis trompé de lien. Merci de me l'avoir signalé.
Maintenant si je suis le bon lien (WordPress 4.7.2 Security Release), j'ai 4 failles déclarées :
> WordPress versions 4.7.1 and earlier are affected by three security issues:
> 1. The user interface for assigning taxonomy terms in Press This is shown to users who do not have permissions to use it.
4. WP_Query is vulnerable to a SQL injection (SQLi) when passing unsafe data. WordPress core is not directly vulnerable to this issue, but we’ve added hardening to prevent plugins and themes from accidentally causing a vulnerability.
8. A cross-site scripting (XSS) vulnerability was discovered in the posts list table.
9. An unauthenticated privilege escalation vulnerability was discovered in a REST API endpoint.
La 1. nécessite d'être un utilisateur déclaré du site pour être exploitée.
La 2. est un renforcement de protection contre les plugins mal développés.
La 3. ne concerne que ceux qui on installé l'extension "WP Post List Table".
Et la 4. est celle dont je parlais initialement.
Concernant la 4. Wordpress précise :
> Previous versions of WordPress, even with the REST API Plugin, were never vulnerable to this.
Ce qui illustre l'ajout de failles par les mises à jour, comme tu l'indiques d'ailleurs dans ton post initial.
Je persiste donc à penser que cette faille ne concerne pas nécessairement tous les sites mais que Wordpress est gravement vulnérable. Je précise que je pense néanmoins que Wordpress est un outil formidable.
S'ils pouvaient se concentrer sur les performances et la sécurité au lieu d'ajouter des fonctionnalités par défaut inutiles, ça serait mieux (mais elles sont sûrement plus vendeuses que celle d'intégrer un système de cache sans plugin).
Sinon, c'est intéressant de savoir que les versions qui semblent toujours être maintenues… ne le sont peut-être pas vraiment en fait.
> The core team releases patches for versions of WordPress back to 3.7, where auto updates was first introduced. So yes, we try to keep as many WordPress sites secure as best we can.
> That said, we only consider the latest release of WordPress as fully supported. So while we may backport security patches, that is not guaranteed. Always update to the very latest version of WordPress, at all times.
https://wordpress.org/support/topic/security-question-regarding-core-updates/#post-8788438
REST API
Bonjour,
S'il restait une once de doute, les chiffres sont éloquents
https://www.wordfence.com/blog/2017/02/rapid-growth-in-rest-api-defacements/
2 millions de pages défacées "Hacked by ..." il y a 4 jours, ça fait mal quand même.
et l'attaque provient de 149.56.218.228 (OVH)
Mauvaise pub ?
> Over 95% of attacks that we blocked from “MuhmadEmad” are coming from a single IP address:
> IP Address 149.56.218.228
> Total attacks blocked by Wordfence from this IP over 90 days 33,972
> Hostname
> ip228.1218.net218.net
> Location Montreal, Canada
> Hosting provider OVH Hosting, also known as OVH SAS
Ca veut dire quoi "défacer"?
Bonjour,
en gros la page d'accueil et/ou le site en entier est détourné/"défiguré" de son accueil normale pour afficher un autre message.
Et bien souvent si cela arrive c'est une faille dans le CMS.
Cordialement, janus57
Ah ok, dé "face" r : modifier le visage, merci.
Moi il y a un moment que je l'ai faite cette mise à jour, je l'ai faite dès que j'ai eu le mail de mon instance WP qui me demandait de la faire, pas vous?
défacer
"défiguré
Voilà bien un mot que j'ai vilainement repris de l'anglais (defacement), et tout comme hot-dog, camping et cutter je ne lui trouve pas de bonne traduction française.
Wikipedia n'a pas mieux, d'ailleurs: https://fr.wikipedia.org/wiki/D%C3%A9facement