WordPress 2.8.4 – Ein entscheidendes Sicherheitsrelease

Gestern war WPBeginner mit einem Hackerangriff konfrontiert. Es waren Benutzer, die versuchten, das Passwort zurückzusetzen, aber zum Glück konnten sie das zufällige Passwort nicht bekommen, weil die Seite nicht den Standard-Admin-Benutzer verwendet. Aber nichtsdestotrotz war es eine lästige Angelegenheit, mit der wir zu kämpfen hatten. Die Hacker versuchten immer wieder, unser Passwort zurückzusetzen, und wir mussten uns sechs Mal damit auseinandersetzen, bis wir mehr Sicherheitsebenen hinzugefügt hatten.

Update: Offenbar gab es in diesem Beitrag einige Missverständnisse, die das Problem noch erschreckender erscheinen lassen. Der Hacker muss eine E-Mail oder den Benutzer verwenden, der zum Zurücksetzen der Kennwörter verwendet wird. Einer unserer Fehler war, dass wir dieselbe E-Mail verwendet haben, die wir für die Beantwortung der von unseren Benutzern gestellten Fragen verwendet haben. Das hat die Sicherheit wahrscheinlich noch mehr gefährdet.

WordPress wurde über dieses Sicherheitsproblem informiert, und wieder einmal hat der schnelle Support eine neue Version mit Sicherheitskorrekturen veröffentlicht.

Wie im WordPress-Blog erwähnt:

Gestern wurde eine Sicherheitslücke entdeckt: eine speziell gestaltete URL könnte angefordert werden, die es einem Angreifer ermöglicht, eine Sicherheitsüberprüfung zu umgehen, um zu verifizieren, dass ein Benutzer eine Passwortrücksetzung angefordert hat. Infolgedessen wurde das Passwort des ersten Kontos ohne Schlüssel in der Datenbank (in der Regel das Administratorkonto) zurückgesetzt und ein neues Passwort per E-Mail an den Kontoinhaber gesendet. Dies ermöglicht zwar keinen Fernzugriff, ist aber sehr ärgerlich.

Wir empfehlen Ihnen dringend, so bald wie möglich auf diese Version von WordPress zu aktualisieren, um dieses Problem zu vermeiden. Um ein Upgrade durchzuführen, sollten Sie in Ihrem Admin-Panel auf Extras > Upgrade gehen und auf WordPress 2.8.4 aktualisieren.