昨日、WPBeginnerはハッカー攻撃に直面していた。ユーザーがパスワードをリセットしようとしていたのだが、ありがたいことに、サイトは初期設定の管理者ユーザーを使っていないため、ランダムなパスワードを取得することはできなかった。しかし、それにもかかわらず、それは対処するのに迷惑なことでした。ハッカーは私たちのパスワードをリセットしようとし続け、私たちはより多くのセキュリティ・レイヤーを追加するまで、6回もそれに対処しなければならなかった。
更新:どうやらこの投稿にはいくつかの誤解があったようだ。ハッカーは、パスワードをリセットするために使われているメールかユーザーを使わなければならない。私たちの間違いのひとつは、ユーザーからの質問に答えるために使っていたメールと同じものを使ってしまったことです。それが、おそらくセキュリティをさらに危険にさらしたのだろう。
WordPressはこのセキュリティ問題を報告され、またもや迅速なサポートがセキュリティ修正を施した新バージョンをリリースした。
WordPressブログで述べられているように:
昨日、特別に細工されたURLがリクエストされ、ユーザーがパスワードのリセットをリクエストしたことを確認するためのセキュリティチェックを攻撃者がバイパスできる脆弱性が発見されました。その結果、データベースにキーを持たない最初のアカウント(通常は管理者アカウント)のパスワードがリセットされ、新しいパスワードがアカウントの所有者にメールされます。これではリモートアクセスはできないが、非常に迷惑だ。
できるだけ早くWordPressをこのバージョンにアップグレードし、この問題を回避することを強くお勧めします。アップグレードするには、管理画面のツール > アップグレードからWordPress 2.8.4にアップグレードしてください。
ご質問やご提案がおありですか?ディスカッションを始めるためにコメントを残してください。