Wczoraj WPBeginner był celem pewnego ataku hakerskiego. Byli to użytkownicy próbujący zresetować hasło, ale na szczęście nie mogli uzyskać losowego hasła, ponieważ strona nie używa domyślnego użytkownika administratora. Niemniej jednak było to irytujące. Hakerzy próbowali resetować nasze hasło i musieliśmy sobie z tym radzić sześć razy, zanim dodaliśmy więcej warstw bezpieczeństwa.
Aktualizacja: Wygląda na to, że w tym poście doszło do pewnej dezinformacji, która sprawia, że problem wydaje się nieco bardziej przerażający. Haker musiałby użyć adresu e-mail lub użytkownika, który jest używany do resetowania haseł. Jednym z naszych błędów było użycie tego samego adresu e-mail, którego używaliśmy do odpowiadania na pytania naszych użytkowników. Co prawdopodobnie jeszcze bardziej naruszyło bezpieczeństwo.
WordPress został poinformowany o tym problemie bezpieczeństwa i po raz kolejny ich szybkie wsparcie wydało nową wersję z poprawkami bezpieczeństwa.
Jak powiedziano na WordPress Blog:
Wczoraj odkryto lukę: specjalnie spreparowany adres URL mógł zostać zażądany, co pozwoliłoby atakującemu na obejście kontroli bezpieczeństwa w celu weryfikacji, czy użytkownik zażądał resetu hasła. W rezultacie pierwsze konto bez klucza w bazie danych (zazwyczaj konto administratora) miałoby zresetowane hasło, a nowe hasło zostałoby wysłane e-mailem do właściciela konta. Nie pozwala to na zdalny dostęp, ale jest bardzo irytujące.
Zdecydowanie zalecamy jak najszybsze zaktualizowanie do tej wersji WordPressa i uniknięcie tego problemu. Aby zaktualizować, należy przejść do Narzędzia > Aktualizacja w Panelu Administratora i zaktualizować do WordPress 2.8.4.
Masz pytanie lub sugestię? Zostaw komentarz, aby rozpocząć dyskusję.