WordPress 2.8.4 - Ett viktigt säkerhetsmeddelande

Igår var WPBeginner inför någon hackerattack. Det var användare som försökte återställa lösenordet, men tack och lov kunde de inte få slumpmässigt lösenord eftersom webbplatsen inte använder standardadministratörsanvändaren. Men det var ändå en irriterande sak att hantera. Hackare fortsatte försöka återställa vårt lösenord och vi måste ta itu med det i sex gånger tills vi lagt till fler säkerhetslager.

Uppdatering: Uppenbarligen fanns det viss missuppfattning i det här inlägget vilket gör problemet lite mer skrämmande. Hackern måste använda ett e-postmeddelande eller den användare som används för att återställa lösenordet. Ett av våra misstag var att vi använde samma e-post som vi använde för att svara på de frågor som våra användare ställde. Vilket är det som förmodligen komprometterade säkerheten ännu mer.

WordPress rapporterades om detta säkerhetsproblem, och återigen har deras snabba support släppt en ny version med säkerhetsfixar.

Som sagt på WordPress Blog:

Igår upptäcktes en sårbarhet: En speciellt utformad webbadress kunde begäras som skulle tillåta en angripare att kringgå en säkerhetskontroll för att verifiera att en användare begärde en återställning av lösenord. Som ett resultat skulle det första kontot utan en nyckel i databasen (vanligtvis adminkontot) ha sitt lösenordsåterställning och ett nytt lösenord skulle skickas till kontoägaren. Detta tillåter inte fjärråtkomst, men det är väldigt irriterande.

Vi rekommenderar dig att uppgradera till den här versionen av WordPress så snart som möjligt och undvika problemet. För att uppgradera borde du gå till Verktyg> Uppgradera i administratörspanelen och uppgradera till WordPress 2.8.4.