Hier, WPBeginner a été victime d'une attaque de pirates. Il s'agissait d'utilisateurs tentant de réinitialiser leur mot de passe, mais heureusement, ils n'ont pas pu obtenir le mot de passe aléatoire car le site n'utilise pas l'utilisateur administrateur par défaut. Mais néanmoins, c'était une chose ennuyeuse à gérer. Les pirates ont continué d'essayer de réinitialiser notre mot de passe et nous avons dû y faire face six fois jusqu'à ce que nous ajoutions plus de couches de sécurité.
Mise à jour : Il y a apparemment eu un malentendu dans cet article, ce qui rend le problème un peu plus effrayant. Le pirate doit utiliser un e-mail ou l'utilisateur qui est utilisé pour réinitialiser les mots de passe. L'une de nos erreurs a été d'utiliser le même e-mail que nous utilisions pour répondre aux questions posées par nos utilisateurs. Ce qui a probablement compromis la sécurité encore plus.
WordPress a été informé de ce problème de sécurité, et une fois de plus, leur support rapide a publié une nouvelle version avec des correctifs de sécurité.
Comme indiqué sur le Blog WordPress :
Hier, une vulnérabilité a été découverte : une URL spécialement conçue pouvait être demandée, ce qui permettrait à un attaquant de contourner une vérification de sécurité pour confirmer qu'un utilisateur a demandé une réinitialisation de mot de passe. En conséquence, le premier compte sans clé dans la base de données (généralement le compte administrateur) aurait son mot de passe réinitialisé et un nouveau mot de passe serait envoyé par e-mail au propriétaire du compte. Cela ne permet pas un accès à distance, mais c'est très ennuyeux.
Nous vous recommandons fortement de mettre à jour vers cette version de WordPress dès que possible et d'éviter ce problème. Pour mettre à jour, vous devez aller dans Outils > Mettre à jour dans votre panneau d'administration et mettre à jour vers WordPress 2.8.4.
Vous avez une question ou une suggestion ? Veuillez laisser un commentaire pour lancer la discussion.