WordPress 2.8.4 - o lansare de securitate crucială
Ieri, WPBeginner se confrunta cu un atac hacker. Utilizatorii au încercat să reseta parola, dar, din fericire, nu au putut obține parola aleatoră, deoarece site-ul nu folosește utilizatorul de admin implicit. Dar cu toate acestea, a fost un lucru enervant de a face față. Hackerii au încercat să ne restituie parola și a trebuit să facem acest lucru de șase ori, până când am adăugat mai multe straturi de securitate.
Actualizați: Se pare că au existat unele comunicări necorespunzătoare în acest post, ceea ce face ca problema să fie ceva mai înspăimântătoare. Hackerul trebuie să utilizeze un e-mail sau utilizatorul care este utilizat pentru a reseta parolele. Una dintre greșelile noastre a fost că am folosit același e-mail pe care l-am folosit pentru a răspunde la întrebările adresate de utilizatorii noștri. Ceea ce probabil a compromis securitatea chiar mai mult.
WordPress a fost raportat despre această problemă de securitate și, din nou, suportul rapid a lansat o nouă versiune cu remedierile de securitate.
După cum sa spus pe blogul WordPress:
Ieri a fost descoperită o vulnerabilitate: ar putea fi solicitat un URL special creat care ar permite unui atacator să ocolească un control de securitate pentru a verifica dacă un utilizator a solicitat o resetare a parolei. Prin urmare, primul cont fără o cheie din baza de date (de obicei, contul de admin) ar fi reinițializat parola și o nouă parolă ar fi trimisă prin e-mail proprietarului contului. Acest lucru nu permite accesul la distanță, dar este foarte enervant.
Vă recomandăm să faceți upgrade la această versiune de WordPress cât mai curând posibil și să evitați această problemă. Pentru a face upgrade, trebuie să mergeți la Tools> Upgrade din panoul Administrator și să faceți upgrade la WordPress 2.8.4.