昨日、WPBeginnerはハッカーの攻撃を受けていました。ユーザーがパスワードをリセットしようとしていましたが、幸いなことに、サイトはデフォルトの管理者ユーザーを使用していないため、ランダムなパスワードを取得できませんでした。しかし、それでも対処するのが迷惑なことでした。ハッカーはパスワードのリセットを試み続け、セキュリティレイヤーを追加するまで6回も対処しなければなりませんでした。
更新:この投稿では、問題が少し恐ろしく見えるようにする誤解があったようです。ハッカーは、パスワードをリセットするために使用されているメールまたはユーザーを使用する必要があります。私たちの間違いの1つは、ユーザーから寄せられた質問に返信する際に使用していたのと同じメールを使用したことです。これがセキュリティをさらに侵害した可能性があります。
WordPressはこのセキュリティ問題について報告を受け、今回も迅速なサポートによりセキュリティ修正を含む新バージョンがリリースされました。
WordPress Blogで述べられているように:
昨日、脆弱性が発見されました。特別に細工されたURLをリクエストすることで、攻撃者がユーザーがパスワードリセットをリクエストしたことを確認するセキュリティチェックをバイパスできる可能性があります。その結果、データベースにキーが存在しない最初のアカウント(通常は管理者アカウント)のパスワードがリセットされ、新しいパスワードがアカウント所有者にメールで送信されます。これによりリモートアクセスは可能になりませんが、非常に迷惑な問題です。
このバージョンのWordPressにできるだけ早くアップグレードし、この問題を回避することを強くお勧めします。アップグレードするには、管理パネルの[ツール] > [アップグレード]に移動して、WordPress 2.8.4にアップグレードしてください。
質問や提案はありますか?コメントを残して、議論を開始してください。