33. Alertes de sécurité

·

Diverses attaques contre des comptes d’utilisateurs WordPress ont conduit à la compromission de plusieurs extensions, ce qui a permis d’accéder à des milliers de sites.

N’oubliez pas que vous pouvez écouter les épisodes sur Pocket Casts, Spotify, et Apple Podcasts ou vous abonner directement au flux.

Transcript de l’épisode

Bonjour, je suis Patricia, et vous écoutez WordPress Podcast, le bulletin d’information de la communauté WordPress. Ce programme est la traduction en français de la version originale en espagnol.

Dans cet épisode, vous trouverez les informations du 24 au 30 juin 2024.

WordPress est-il sûr ? La réponse est claire et simple : oui. Cependant, les utilisateurs et utilisatrices ou les personnes qui se trouvent derrière l’ensemble de la communauté sont souvent le maillon faible en matière de sécurité informatique.

En début de semaine, certains utilisateurs et utilisatrices ont subi une attaque sur leurs comptes en utilisant des noms de compte et des mots de passe précédemment publiés dans des brèches de données. Au moins cinq comptes de développeurs ou développeuses d’extensions ont été compromis parce qu’ils utilisaient le même mot de passe que sur d’autres sites piratés.

Il est important de noter qu’en avril 2021, a été lancé le système Release Confirmation. Ce système envoie un e-mail à chaque fois qu’une modification est tentée dans les données du dépôt de l’extension, modification qui doit être vue et confirmée pour que la nouvelle version soit publiée.

En outre, depuis plus de six mois et après une longue période de test, l’option activer l’authentification à deux facteurs est disponible pour les comptes sur WordPress.org. Cela signifie que même si les mots de passe sont divulgués, un deuxième facteur temporaire sera toujours requis.

Comme mesure de sécurité supplémentaire, un e-mail a été envoyé à tous les développeurs et développeuses pour les inviter à réinitialiser leur mot de passe lorsqu’ils tentent d’accéder à WordPress.org, car les mots de passe ont été réinitialisés pour des raisons de sécurité.

Que vous developpiez des extensions ou non, dans la situation actuelle, la meilleure option est de visiter login.wordpress.org, de cliquer sur recover password, de suivre la procédure et de modifier votre mot de passe avec un que vous n’avez jamais utilisé auparavant. Si vous ne l’avez pas encore fait, visitez la section edit your profile où vous pouvez activer l’authentification à double facteurs (2FA).

En ce qui concerne la sécurité, WordPress 6.5.5 est la version mineure de WordPress 4.1 à 6.5, qui corrige jusqu’à trois vulnérabilités.

Il est important de rappeler que les mises à jour des versions mineures ne modifient ni ne cassent les fonctionnalités de cette version de WordPress, et que la mise à jour est donc cruciale pour la bonne santé de votre site.

En parlant de nouvelles versions, la première version Release candidate de WordPress 6.6 est maintenant disponible. Cette version devrait inclure toutes les fonctionnalités finales de cette version, il est donc fortement recommandé de commencer les tests pour valider la compatibilité de votre site, de vos extensions et de vos thèmes avec une version dont la sortie est prévue pour le 16 juillet. Cette version gèle également les chaînes de texte pour la traduction et ouvre la branche de travail de WordPress 6.7.

Avec l’arrivée de cette Release candidate, le WordPress 6.6 Field Guide a également été publié, un document qui reprend toutes les modifications techniques de la version. Cette version comprend de nombreux changements au niveau de l’éditeur et des thèmes, contrairement à la version précédente qui était plus axée sur les performances.

L’équipe Core présente une proposition d’introduction d’alias de variation de bloc. Cette initiative vise à améliorer la flexibilité et la cohérence dans la création et la gestion des variations de blocs dans l’éditeur.

Les alias de variations permettraient de réutiliser les paramètres et les styles des variations existantes, ce qui simplifierait le processus de développement et de personnalisation des blocs, tant pour les personnes qui les développent que pour celles qui les utilisent.

L’équipe Design a présenté plusieurs propositions sur lesquelles elle travaille, comme l’intégration d’outils d’édition d’images d’arrière-plan dans l’éditeur.

Un autre élément important, encore en mode conceptuel, pourrait être la possibilité d’ajouter de nouvelles colonnes à la vue des données, avec des informations provenant de champs personnalisés. Dans la liste des utilisateurs, il serait possible d’inclure, par exemple, le numéro de téléphone dans la liste, une donnée que WordPress ne possède pas par défaut.

L’équipe Polyglots rappelle que la traduction des chaînes en attente pour WordPress 6.6 est désormais disponible.

WordPress 6.6 comprend environ 300 nouvelles chaînes de texte, dont beaucoup proviennent de l’extension Gutenberg, qui devraient être incorporées dans le paquet linguistique avant la date de sortie, en plus de celles des thèmes Twenty Twenty-Four, Twenty Twenty-Three et Twenty Twenty-Two.

L’équipe Training va commencer à tester et à examiner GatherPress, un outil conçu pour faciliter l’organisation et la gestion d’évènements communautaires dans WordPress. Ils exploreront les fonctionnalités de GatherPress, notamment la possibilité de gérer des calendriers d’évènements, d’inscrire des participants et participantes et de faciliter la communication entre l’équipe organisatrice et les personnes participant aux évènements.

En ce qui concerne le projet Thread Content, la phase 1 du processus de mise à jour a commencé, se concentrant sur l’amélioration de la structure et de l’organisation du contenu éducatif au sein de WordPress, dans le but de le rendre plus accessible et plus facile à maintenir, en garantissant sa pertinence et son exactitude.

L’équipe Community rouvre le projet de réactivation des groupes Meetups inactifs. Comme il y a quelques années, l’objectif est d’identifier les groupes Meetup qui n’ont pas organisé d’événements au cours des derniers mois et de contacter les personnes organisatrices et les membres pour tenter de relancer l’activité.

En outre, après plusieurs tentatives précédentes et la nouvelle que Slack supprimera irrémédiablement tous les messages de plus d’un an, il est proposé que toutes les communautés locales disposant de Slack rejoignent la communauté globale via Slack Enterprise Grid, permettant l’accès à tous les avantages disponibles dans cette version, en fournissant un lieu de communication centralisé pour chaque communauté.

BuddyPress permettra de récupérer une fonctionnalité perdue dans la nouvelle version 14.0 : la possibilité de renommer les éléments comme vous le souhaitez. Grâce à la fonctionnalité introduite dans WordPress 6.5, il sera désormais possible de changer le nom des groupes, par exemple, en équipes. Cela peut même conduire à renommer tous les blocs nativement, sans installer d’extensions externes.

Un canal de travail a été ouvert pour répondre à la nécessité d’améliorer la collaboration entre les équipes et de gérer les initiatives qui se chevauchent au sein de la communauté, soulignant l’importance d’aligner les efforts pour éviter les doubles emplois et maximiser les ressources disponibles.

En raison de la croissance de la communauté et de la diversité des projets, il y a eu une augmentation des initiatives qui se chevauchent souvent, ce qui peut entraîner une fragmentation et une utilisation inefficace des ressources.

L’une des améliorations est la nécessité d’une communication plus claire et plus transparente entre les équipes, afin que chacun et chacune soit au courant des projets en cours et puisse collaborer efficacement. En outre, une structure plus organisée est encouragée pour gérer et hiérarchiser les initiatives, en utilisant des outils et des pratiques qui facilitent la coordination et minimisent les conflits de planification.

Dans tous les cas, l’accent doit rester mis sur les objectifs stratégiques à long terme de WordPress, en s’assurant que toutes les initiatives contribuent de manière significative à la vision globale du projet, avec le besoin d’une gouvernance claire et efficace pour guider la coordination des équipes et s’assurer que chaque initiative s’aligne sur les valeurs et les objectifs de la communauté.

Pour finir, ce podcast est distribué sous licence Creative Commons en tant que version dérivée de WordPress Podcast en espagnol. Vous trouverez tous les liens pour plus d’informations sur WordPress Podcast.org.

En plus du français, vous pouvez suivre le contenu en allemand, en anglais, en catalan, en espagnol et en esperanto.

A la prochaine !

Comments

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *