WordPress a annoncé un avertissement de trois mois indiquant qu’il interrompt toutes les mises à jour de sécurité pour les anciennes installations, versions 3.7 à 4.0. Les installations concernées afficheront un avis permanent qui ne peut pas être ignoré.
Sommaire
Installations WordPress obsolètes
Les versions 3.7 à 4.0 de WordPress ne recevront plus les mises à jour de sécurité à compter du 1er décembre 2022.
Toute personne utilisant ces versions obsolètes de WordPress exposera ses sites à un risque de piratage après la date finale de prise en charge.
La raison invoquée pour abandonner la prise en charge de la sécurité est que l’équipe de développement principale de WordPress peut mieux se concentrer sur la mise à jour des dernières versions sans avoir à maintenir à jour les anciennes versions.
Selon l’annonce de WordPress :
«Officiellement, WordPress ne prend en charge que la dernière version du logiciel.
L’équipe de sécurité a historiquement pour pratique de rétroporter les correctifs de sécurité par courtoisie aux sites sur des versions plus anciennes dans l’espoir que les sites seront automatiquement mis à jour.
Jusqu’à présent, ces rétroportages de courtoisie incluaient toutes les versions de WordPress prenant en charge les mises à jour automatiques.
Les versions WordPress 3.7 à 4.0 ont atteint des niveaux d’utilisation, à savoir moins de 1% du total des installations, où l’avantage de fournir ces mises à jour est compensé par l’effort impliqué.
… En supprimant la prise en charge de ces anciennes versions, les nouvelles versions de WordPress deviendront plus sécurisées car plus de temps pourra être consacré à leurs besoins.
Vers quelle version les éditeurs doivent-ils mettre à jour ?
WordPress conseille aux éditeurs de mettre à jour vers la toute dernière installation, actuellement à la version 6.0.2.
Cela dit, WordPress fournira toujours un support de sécurité pour la version 4.01, qui a été publiée en 2015.
Cela signifie que les éditeurs utilisant des versions plus anciennes de WordPress pourraient passer à la version 4.01 afin de ne pas introduire d’instabilité sur leurs sites Web en raison d’anciens thèmes, plugins ou versions PHP qui pourraient être utilisés.
Mais cela n’est pas recommandé par WordPress car, bien que les mises à jour de sécurité soient rétroportées vers des versions plus anciennes, les mises à jour de renforcement ne sont pas rétroportées vers des versions plus anciennes.
Les mises à jour de sécurité sont des correctifs conçus pour bloquer des vulnérabilités critiques spécifiques.
Hardening met à jour le code pour le rendre plus sécurisé.
Certains pensent que demander aux utilisateurs d’anciennes versions de WordPress de mettre à jour la version la plus récente peut être perçu comme risqué, car cela pourrait entraîner un site Web non fonctionnel.
Une commentateur posté:
« Sauter 8 ans de nouvelles versions en une seule fois est une opération risquée, et en n’offrant que cette option, cela risque de décourager de nombreux propriétaires de sites de le faire. Le processus de réflexion va être « Dois-je appuyer sur le bouton et voir si 8 ans de mises à jour évitent de casser quoi que ce soit, ou dois-je simplement espérer le meilleur en le laissant sur la version actuelle qui a fonctionné jusqu’à présent? »
Notification permanente
WordPress a publié que les installations à partir des versions 4.0 et antérieures recevront une notification dans l’installation de WordPress qui alerte les éditeurs que leur version est obsolète et que les mises à jour de sécurité ont cessé, avec un encouragement à mettre à jour vers la dernière version.
Capture d’écran de la notification permanente
Nombre d’anciennes versions encore utilisées
Selon les statistiques de WordPress, le nombre d’anciennes versions concernées par cette décision constitue moins de 1 % du total des installations.
Ce changement ne devrait donc pas toucher la grande majorité des éditeurs WordPress.
Citation
Lire l’annonce officielle
Suppression des mises à jour de sécurité pour les versions 3.7 à 4.0 de WordPress
Image sélectionnée par Shutterstock/Luis Molinero
Capture d’écran par l’auteur