WordPress 2.8.4 – Une version de sécurité cruciale

Hier, WPBeginner a été confronté à une attaque de pirates. Les utilisateurs/utilisatrices ont essayé de réinitialiser le mot de passe, mais heureusement ils n’ont pas pu obtenir le mot de passe aléatoire parce que le site n’utilise pas l’utilisateur admin du site par défaut. Néanmoins, c’était une chose ennuyeuse à gérer. Les pirates n’arrêtaient pas d’essayer de réinitialiser notre mot de passe et nous avons dû y faire face pendant six fois jusqu’à ce que nous ajoutions des calques de sécurité supplémentaires.

Mise à jour : Apparemment, il y a eu des erreurs de communication dans cette publication, ce qui rend le problème un peu plus effrayant. Le pirate doit utiliser l’e-mail ou le compte utilisé pour réinitialiser les mots de passe. Une de nos erreurs a été d’utiliser le même e-mail que nous utilisions pour répondre aux questions posées par nos utilisateurs/utilisatrices. C’est ce qui a probablement compromis la sécurité encore plus.

WordPress a été informé de ce problème de sécurité et, une fois de plus, son support rapide a publié une nouvelle version avec des correctifs de sécurité.

Comme indiqué sur le blog de WordPress:

Hier, une vulnérabilité a été découverte : une URL spécialement conçue pourrait être demandée qui permettrait à un attaquant de contourner un contrôle de sécurité pour vérifier qu’un utilisateur a demandé une réinitialisation de mot de passe. En conséquence, le premier compte sans clé dans la base de données (généralement le compte administrateur) verrait son mot de passe réinitialisé et un nouveau mot de passe serait envoyé par e-mail au propriétaire du compte. Cela ne permet pas l’accès à distance, mais c’est très ennuyeux.

Nous vous recommandons vivement de mettre à niveau vers cette version de WordPress dès que possible et d’éviter ce problème. Pour effectuer la mise à jour, vous devez aller dans Outils > Passer à la version vers dans votre panneau d’administration et mettre à niveau vers WordPress 2.8.4.