Wczoraj WPBeginner miał do czynienia z atakiem hakerów. To użytkownicy próbowali zresetować hasło, ale na szczęście nie mogli uzyskać losowego hasła, ponieważ witryna nie używa domyślnego użytkownika administratora. Ale mimo to było to irytujące. Hakerzy próbowali zresetować nasze hasło i musieliśmy się z tym uporać sześć razy, dopóki nie dodaliśmy więcej warstw zabezpieczeń.
Aktualizacja: Najwyraźniej doszło do nieporozumień w tym poście, co sprawia, że problem wygląda nieco bardziej przerażająco. Haker musi użyć wiadomości e – mail lub użytkownika używanego do resetowania haseł. Jednym z naszych błędów było to, że użyliśmy tego samego e-maila, którego używaliśmy, aby odpowiedzieć na pytania zadawane przez naszych użytkowników. Co prawdopodobnie jeszcze bardziej zagroziło bezpieczeństwu.
WordPress został zgłoszony o tym problemie bezpieczeństwa i po raz kolejny ich szybkie wsparcie wydało nową wersję z poprawkami bezpieczeństwa.
Jak powiedział na blogu WordPress:
Wczoraj wykryto lukę w zabezpieczeniach: można było zażądać specjalnie spreparowanego adresu URL, który pozwoliłby atakującemu ominąć kontrolę bezpieczeństwa w celu zweryfikowania, czy użytkownik zażądał resetowania hasła. W rezultacie pierwsze konto bez klucza w bazie danych (Zwykle konto administratora) zostałoby zresetowane, a nowe hasło zostanie wysłane do właściciela konta e-mailem. Nie pozwala to na zdalny dostęp, ale jest to bardzo denerwujące.
Zdecydowanie zalecamy aktualizację do tej wersji WordPressa tak szybko, jak to możliwe i uniknąć tego problemu. Aby dokonać aktualizacji, należy przejść do Narzędzia > Uaktualnij w Panelu Administracyjnym i uaktualnić do WordPress 2.8.4.
