Ieri, WPBeginner ha subito un attacco hacker. Erano utenti che cercavano di reimpostare la password, ma fortunatamente non sono riusciti a ottenere la password casuale perché il sito non utilizza l'utente amministratore predefinito. Ma ciò nonostante è stato un fastidio da gestire. Gli hacker hanno continuato a cercare di reimpostare la nostra password e abbiamo dovuto gestirlo per sei volte finché non abbiamo aggiunto ulteriori livelli di sicurezza.
Aggiornamento: A quanto pare ci sono state delle incomprensioni in questo post che fanno sembrare il problema un po' più spaventoso. L'hacker deve usare un'email o l'utente che viene utilizzato per reimpostare le password. Uno dei nostri errori è stato quello di utilizzare la stessa email che stavamo usando per rispondere alle domande poste dai nostri utenti. Il che è probabilmente ciò che ha compromesso ulteriormente la sicurezza.
WordPress è stato informato di questo problema di sicurezza e, ancora una volta, il loro rapido supporto ha rilasciato una nuova versione con correzioni di sicurezza.
Come detto sul Blog di WordPress:
Ieri è stata scoperta una vulnerabilità: poteva essere richiesta un'URL appositamente creata che avrebbe permesso a un aggressore di aggirare un controllo di sicurezza per verificare che un utente avesse richiesto il ripristino della password. Di conseguenza, il primo account senza una chiave nel database (solitamente l'account amministratore) avrebbe avuto la password reimpostata e una nuova password sarebbe stata inviata via email al proprietario dell'account. Questo non consente l'accesso remoto, ma è molto fastidioso.
Ti consigliamo vivamente di aggiornare a questa versione di WordPress il prima possibile ed evitare questo problema. Per aggiornare, dovresti andare su Strumenti > Aggiorna nel tuo Pannello di Amministrazione e aggiornare a WordPress 2.8.4.
Hai una domanda o un suggerimento? Lascia un commento per iniziare la discussione.