Igår utsattes WPBeginner för en hackerattack. Det var användare som försökte återställa lösenordet, men tack och lov kunde de inte få det slumpmässiga lösenordet eftersom webbplatsen inte använder standard admin-användaren. Men ändå var det en irriterande sak att hantera. Hackare försökte hela tiden återställa vårt password och vi var tvungna att hantera det sex gånger tills vi addade till fler säkerhetslager.
Update: Tydligen fanns det några kommunikationsfel i det här inlägget som gör att frågan ser lite mer skrämmande ut. Hackaren måste använda ett email eller den användare som används för att återställa lösenorden. Ett av våra misstag var att vi använde samma email som vi använde för att svara på de frågor som våra användare ställde. Det är det som förmodligen äventyrade säkerheten ännu mer.
WordPress rapporterades om detta säkerhetsproblem, och återigen har deras snabba support släppt en new version med säkerhets fixar.
Som sagt på WordPress blogg:
Igår upptäcktes en sårbarhet: en speciellt utformad URL kunde begäras som skulle allow en angripare att kringgå en säkerhetskontroll för att kontrollera att en användare begärt en återställning av password. Som ett resultat skulle det första kontot utan en nyckel i databasen (vanligtvis admin-kontot) få sitt lösenord återställt och ett new password skulle emailas till kontoägaren. Detta tillåter inte fjärråtkomst, men det är mycket irriterande.
Vi rekommenderar starkt att du uppgraderar till denna version av WordPress så snart som möjligt för att undvika denna issue. För att uppgradera ska du gå till Tools > Upgrade i din adminpanel och uppgradera till WordPress 2.8.4.
Har du en fråga eller ett förslag? Lämna gärna en kommentar för att starta diskussionen.