Ieri WPBeginner ha subito un attacco hacker. Gli utenti hanno cercato di reimpostare la password, ma fortunatamente non sono riusciti a ottenere una password casuale perché il sito non utilizza l’utente admin predefinito. Ma è stato comunque un problema fastidioso da affrontare. Gli hacker continuavano a cercare di reimpostare la nostra password e abbiamo dovuto affrontarlo per sei volte, finché non abbiamo aggiunto altri livelli di sicurezza.
Aggiornamento: a quanto pare ci sono stati alcuni errori di comunicazione in questo articolo che rendono il problema un po’ più spaventoso. L’hacker deve utilizzare un’email o l’utente che viene utilizzato per reimpostare le password. Uno dei nostri errori è stato quello di utilizzare la stessa email che usavamo per rispondere alle domande poste dai nostri utenti. Questo è ciò che probabilmente ha compromesso ancora di più la sicurezza.
WordPress è stato informato di questo problema di sicurezza e, ancora una volta, il suo rapido supporto ha rilasciato una nuova versione con correttivi di sicurezza.
Come si legge sul blog di WordPress:
Ieri è stata scoperta una vulnerabilità: è stato possibile richiedere un URL appositamente creato che consentirebbe a un utente malintenzionato di bypassare un controllo di sicurezza per verificare che un utente abbia richiesto la reimposta della password. Di conseguenza, il primo account senza chiave nel database (di solito l’account amministratore) verrebbe reimposto e una nuova password verrebbe inviata via email al proprietario dell’account. Questo non consente l’accesso remoto, ma è molto fastidioso.
Vi consigliamo vivamente di aggiornare a questa versione di WordPress il prima possibile per evitare questo problema. Per effettuare l’aggiornamento, andate su Strumenti > Aggiornamento nel vostro pannello di amministrazione e aggiornate a WordPress 2.8.4.
Avete una domanda o un suggerimento? Lasciate un commento per avviare la discussione.