Gestern wurde WPBeginner von einem Hackerangriff heimgesucht. Es waren Benutzer, die versuchten, das Passwort zurückzusetzen, aber glücklicherweise konnten sie das zufällige Passwort nicht erhalten, da die Website keinen Standard-Admin-Benutzer verwendet. Aber nichtsdestotrotz war es eine ärgerliche Sache, damit umzugehen. Hacker versuchten weiterhin, unser Passwort zurückzusetzen, und wir mussten uns sechsmal damit auseinandersetzen, bis wir weitere Sicherheitsebenen hinzufügten.
Update: Anscheinend gab es in diesem Beitrag einige Missverständnisse, die das Problem etwas beängstigender erscheinen lassen. Der Hacker muss eine E-Mail oder den Benutzer verwenden, der zum Zurücksetzen der Passwörter verwendet wird. Einer unserer Fehler war, dass wir dieselbe E-Mail verwendeten, mit der wir auf die Fragen unserer Benutzer antworteten. Was wahrscheinlich die Sicherheit noch weiter kompromittierte.
WordPress wurde über dieses Sicherheitsproblem informiert und hat einmal mehr mit schnellem Support eine neue Version mit Sicherheitsupdates veröffentlicht.
Wie im WordPress Blog gesagt:
Gestern wurde eine Schwachstelle entdeckt: Eine speziell präparierte URL konnte angefordert werden, die es einem Angreifer ermöglichen würde, eine Sicherheitsprüfung zu umgehen, die überprüft, ob ein Benutzer eine Passwortzurücksetzung angefordert hat. Infolgedessen würde das erste Konto ohne Schlüssel in der Datenbank (normalerweise das Admin-Konto) sein Passwort zurücksetzen und ein neues Passwort würde an den Kontoinhaber gesendet werden. Dies ermöglicht keinen Fernzugriff, ist aber sehr ärgerlich.
Wir empfehlen Ihnen dringend, so bald wie möglich auf diese Version von WordPress zu aktualisieren und dieses Problem zu vermeiden. Um zu aktualisieren, sollten Sie unter Werkzeuge > Aktualisieren in Ihrem Admin-Panel zu WordPress 2.8.4 aktualisieren.
Haben Sie eine Frage oder einen Vorschlag? Hinterlassen Sie bitte einen Kommentar, um die Diskussion zu beginnen.