Wczoraj WPBeginner stanął w obliczu ataku hakerów. Użytkownicy próbowali zresetować hasło, ale na szczęście nie można było uzyskać losowego hasła, ponieważ witryna nie korzysta z domyślnego użytkownika admin. Niemniej jednak było to irytujące. Hakerzy wciąż próbowali zresetować nasze hasło i musieliśmy sobie z tym radzić sześć razy, dopóki nie dodaliśmy kolejnych warstw zabezpieczeń.
Aktualizacja: Najwyraźniej w tym wpisie pojawiły się pewne nieścisłości, które sprawiają, że problem wygląda nieco bardziej przerażająco. Haker musi użyć e-maila lub użytkownika, który jest używany do resetowania haseł. Jednym z naszych błędów było użycie tego samego e-maila, którego używaliśmy do odpowiadania na pytania zadawane przez naszych użytkowników. Co prawdopodobnie jeszcze bardziej naruszyło zabezpieczenia.
WordPress został poinformowany o tym problemie bezpieczeństwa i po raz kolejny ich szybka pomoc techniczna wydała nową wersję z poprawkami błędów w zabezpieczeniach.
Jak podano na blogu WordPress:
Wczoraj odkryto lukę w zabezpieczeniach: można było zażądać specjalnie spreparowanego adresu URL, który pozwoliłby atakującemu ominąć kontrolę zabezpieczeń w celu sprawdzenia, czy użytkownik zażądał zresetowania hasła. W rezultacie pierwsze konto bez klucza w bazie danych (zwykle konto administratora) miałoby zresetowane hasło, a nowe hasło zostałoby wysłane e-mailem do właściciela konta. Nie pozwala to na zdalny dostęp, ale jest bardzo irytujące.
Zdecydowanie zalecamy jak najszybszą aktualizację do tej wersji WordPressa i uniknięcie tego problemu. Aby dokonać aktualizacji, powinieneś przejść do Narzędzia > Aktualizacja w twoim panelu administracyjnym i zaktualizować WordPress do wersji 2.8.4.
Syed Balkhi
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!