WordPress 4.7.4 : patchez votre version en 2 lignes de code

WordPress 4.7.4 : patchez votre version en 2 lignes de code

Vous le savez surement déjà, WordPress 4.7.4 contient une faille remise à zéro du mot de passe non autorisée.

La faille est difficile à exploiter, certes, mais c’est toujours bon de s’assurer que nous ne sommes pas vulnérables.

En gros, l’exploit réside dans le fait que l’entête « From » soit vide. Je vais donc juste créer un plugin ou mu-plugin forçant une valeur à cette entête !

add_filter( 'wp_mail_from', 'baw_fix_wp_474_mail_reset_vulnerability' );
function baw_fix_wp_474_mail_reset_vulnerability( $from_email ) {
	return 'wordpress@example.com';
}

Vous pouvez si vous le désirez remplacer example.com par votre site.

Julio Potier
Consultant en Sécurité, Expert WordPress, Formateur, Marketeur et créateur du plugin de sécurité WordPress SecuPress.
Julio développe et sécurise du contenu web tous les jours. La création de plugins WordPress et la vente de produits WordPress font partie de son quotidien.

Lire la suite

Vous aimez ? Partagez !


Réagir à cet article

120 caractères maximum