WordPress 2.5 et la sécurité…
WordPress 2.5 disponible en version RC2 devrait être prochainement disponible dans une version stabilisée. Depuis quelques jours je teste ces versions RC1 et 2 avec plus ou moins de problème d’ailleurs comme l’impossibilité d’uploader des images avec le nouveau système qui a l’air pourtant vraiment bien pensé, mais apparemment je ne suis pas le seul dans ce cas.
En bidouillant un peu dans le fichier wp-config.php j’ai constaté de nouvelles informations comme une ligne qui demande votre clé secrète, SECRET_KEY avec pas plus d’informations que cela :// Change SECRET_KEY to a unique phrase. You won’t have to remember it later,
// so make it long and complicated. You can visit https://www.grc.com/passwords.htm
// to get a phrase generated for you, or just make something up.
define(‘SECRET_KEY’, ‘put your unique phrase here’); // Change this to a unique phrase.
7 commentaires sur “WordPress 2.5 et la sécurité…”
Les commentaires sont fermés.
Je pari sur une version RC3, RC4 et RC5… arf
Sympa comme technique, mais ça confirme le fait que je vais un peu attendre avant d’installer la 2.5 :)
Vraiment sympa la nouvelle fonction d’upload. Par contre je ne sais pas trop ce qui se cache derrière.
En utilisant un proxy avec mot de passe, sous Firefox il m’ouvre une fenêtre de mot de passe d’Internet Explorer… C’est du flash/javascript qui fait ça ?
Sous Linux (Ubuntu), ça n’a pas l’air exactement pareil non plus.
J’attends un peu avant de passer à 2.5
Je me souviens qu’avec la version 2.3 je n’arrivais pas à « uploader » les images.
Le problème s’est réglé en installant le plugin « image manager ». (Bizarre !!)
je teste tout á l’air de bien fonctionner! enfin !! une nouvelle version intéressante
Je devine en effet que la « phrase secrète » permet d’empêcher les pirates ayant eu accès à la BDD du site (via des failles de sécurité existantes par ailleurs) de déterminer les mots de passe à partir de dictionnaires de mots de passes MD5 existants. Mais ce système m’agace un peu, je dois avouer, car il m’arrive souvent de redéfinir mon mot de passe directement dans la BDD plutôt que de l’envoyer par mail, surtout quand je ne sais plus quel était mon email associé au blog (car j’ai pas mal de blogs en activité, ce qui n’aide pas à les retenir tous). M’enfin, si c’est pour le bien de tous…
Heureusement, il existe un plugin qui permet de garder le fonctionnement précédent des mots de passes, afin de préserver la compatibilité avec d’autres applications qui accéderaient à la BDD de WordPress directement.
@Martin :suffit de laisser la secret key vide ! :)