L'installation dans votre thème de ...

En savoir plus

Publicité

En savoir plus
Faille WordPress : Réinitialisation du mot de passe

Faille WordPress : Réinitialisation du mot de passe

Geekeries - WordPress 2.8.3Depuis ce matin, plusieurs sites relaient un code permettant de réinitialiser le mot de passe des administrateurs d’un blog WordPress. Sûrement pour essayer d’infecter plusieurs blogs le plus vite possible. Je n’en vois pas l’intérêt.

Lire la modification de WordPress (Changeset 1178)

Plusieurs méthodes sont disponibles, la plus radicale est de bloquer l’accès via un fichier htaccess, l’autre méthode est de modifier directement le fichier “wp-login.php”. Ces derniers astuces permettent de vous protéger de cette “faille”. Cette nuit, plutôt discrètement, les développeurs WordPress nous propose une solution.

Cette solution officielle est plus propre et plus facile pour les moins professionnels de la modification. Si vous ne préférez pas toucher aux fichiers internes de WordPress, Mehdi nous propose un correctif à insérer dans le fichier “functions.php” de votre thème.
Modifier la ligne 190 de votre fichier “wp-login.php” par le code ci-dessous.

Faille WordPress : Réinitialisation des mots de passe

if ( empty( $key ) || is_array( $key ) )
Ajouter un commentaire

17 commentaires !

  1. Mr Xhark says:

    août 11, 2009

    Répondre

    Merci, tu aurais la source par hasard ? Ca m’intéresse de regarde ça de plus près.
    Et la ligne 153 on ne la change pas ?

  2. [...] “solutions” ont été apportées notamment par Korben ou encore par l’équipe de développement de l’outil de [...]

  3. Julien says:

    août 11, 2009

    Répondre

    Thanx, c’est fait.

  4. Mathieu says:

    août 11, 2009

    Répondre

    Si j’ai bien compris je remplace la ligne 90 de mon wp-login.php c’est à dire “return true;” par ça “if ( empty( $key ) || is_array( $key ) )” ?

    • Valentin says:

      août 11, 2009

      Répondre

      La ligne 190 !
      if ( empty( $key ) )
      par
      if ( empty( $key ) || is_array( $key ) )

      • Mathieu says:

        août 11, 2009

        Répondre

        Ha bha tiens c’étais la ligne 169 chez moi.

        Merci pour l’astuce. (WP2.7)

  5. denis says:

    août 11, 2009

    Répondre

    Ha bha tiens, ça m’est arrivé, j’ai eu une réinitialisation du mot de passe ce matin.

  6. piouPiouM says:

    août 11, 2009

    Répondre

    Si vous craignez de modifier les sources de WordPress, il vous suffit d’ajouter un bout de code dans votre fichier functions.php de votre thème :
    http://pioupioum.fr/outils-astuces/faille-wordpress-mot-passe-correctif.html

  7. Lyricis says:

    août 11, 2009

    Répondre

    Merci pour l’astuce, j’ai vite modifié mon code pour le blog :)

  8. Dreamer says:

    août 11, 2009

    Répondre

    Quel est l’intérêt de vouloir planter des blogs ??
    C’est nul :eek:

    Bon , j’ai modifié quand même au cas ou ………

  9. GwendalBocher says:

    août 11, 2009

    Répondre

    Merci pour l’astuce, mais j’ai été touché par cette piètre attaque.
    j’ai recu automatiquement un nouveau mot de passe généré par wordpress dans ma boite mail

  10. jeckyl says:

    août 11, 2009

    Répondre

    Merci beaucoup, ce matin, quel mail étrange que celui de mon nouveau mot de passe d’admin. J’ai vite changé ce mot de passe et créé un second administrateur pour pouvoir accéder au site, au cas où.

  11. Mael says:

    août 12, 2009

    Répondre

    en cas de perte de mot de passe, il y a toujours la solution d’aller le redéfinir dans la base de donnée depuis le serveur en étant identifié par php.
    C’est utile si on s’est planté dans l’email et qu’on ne reçoit pas son mot de passe, ou si un plaisantin utilise la faille wordpress.
    Le fichier ici :http://www.village-idiot.org/archives/2007/05/22/wp-emergency-password-recovery/

  12. Formation médicale says:

    août 13, 2009

    Répondre

    N’est-il pas possible de modifier l’accès à l’admin c’est à dire de changer le nom du dossier wp-admin? J’ai essayé, mais il y a énormément de fichier qui dépende de ce dossier, et j’ai la flemme de les modifier un par un.

  13. Dominique says:

    fév 5, 2010

    Répondre

    Est-ce que toutes les versions de WordPress sont touchées ou uniquement la dernière?

  14. David - LeJapon.fr says:

    mar 12, 2010

    Répondre

    Ah ben il semblerait que la dernière version de WordPress 2.9.2 ait toujours la faille grande ouverte !!!
    Mes blog ont été piraté par un certain zimbomba7

Qu'est-ce que vous en pensez ? :)

Nom obligatoire

Site

♥ Ici, on utilise KeywordLuv. Entrez YourName@YourKeywords dans le formulaire "Nom" pour bénéficier des avantages SEO d'un mot-clef ciblé. Devenez membre et connectez-vous pour partager des fichiers via les commentaires !

Votre Newsletter WordPress !