Wczoraj WPBeginner stanął w obliczu ataku hakerów. Użytkownicy próbowali zresetować hasło, ale na szczęście nie można było uzyskać losowego hasła, ponieważ witryna nie korzysta z domyślnego użytkownika admin. Niemniej jednak było to irytujące. Hakerzy wciąż próbowali zresetować nasze hasło i musieliśmy sobie z tym radzić sześć razy, dopóki nie dodaliśmy kolejnych warstw zabezpieczeń.
Aktualizacja: Najwyraźniej w tym wpisie pojawiły się pewne nieścisłości, które sprawiają, że problem wygląda nieco bardziej przerażająco. Haker musi użyć e-maila lub użytkownika, który jest używany do resetowania haseł. Jednym z naszych błędów było użycie tego samego e-maila, którego używaliśmy do odpowiadania na pytania zadawane przez naszych użytkowników. Co prawdopodobnie jeszcze bardziej naruszyło zabezpieczenia.
WordPress został poinformowany o tym problemie bezpieczeństwa i po raz kolejny ich szybka pomoc techniczna wydała nową wersję z poprawkami błędów w zabezpieczeniach.
Jak podano na blogu WordPress:
Wczoraj odkryto lukę w zabezpieczeniach: można było zażądać specjalnie spreparowanego adresu URL, który pozwoliłby atakującemu ominąć kontrolę zabezpieczeń w celu sprawdzenia, czy użytkownik zażądał zresetowania hasła. W rezultacie pierwsze konto bez klucza w bazie danych (zwykle konto administratora) miałoby zresetowane hasło, a nowe hasło zostałoby wysłane e-mailem do właściciela konta. Nie pozwala to na zdalny dostęp, ale jest bardzo irytujące.
Zdecydowanie zalecamy jak najszybszą aktualizację do tej wersji WordPressa i uniknięcie tego problemu. Aby dokonać aktualizacji, powinieneś przejść do Narzędzia > Aktualizacja w twoim panelu administracyjnym i zaktualizować WordPress do wersji 2.8.4.
Have a question or suggestion? Please leave a comment to start the discussion.