WordPress 2.8.4 – Una versión de seguridad crucial

Ayer, WPBeginner se enfrentó a un ataque de hackers. Fueron los usuarios tratando de restablecer la contraseña, pero afortunadamente no pudieron obtener la contraseña al azar porque el sitio no está utilizando el usuario administrador por defecto. Pero de todos modos fue algo molesto de tratar. Los hackers seguían intentando restablecer nuestra contraseña y tuvimos que lidiar con ello seis veces hasta que añadimos más capas de seguridad.

Actualización: Aparentemente hubo algunos errores de comunicación en esta entrada que hacen que el problema parezca un poco más aterrador. El hacker debe utilizar un correo electrónico o el usuario que se está utilizando para restablecer las contraseñas. Uno de nuestros errores fue que utilizamos el mismo correo electrónico que estábamos usando para responder a las preguntas de nuestros usuarios. Que es lo que probablemente comprometió aún más la seguridad.

WordPress fue informado de este problema de seguridad, y una vez más su rápido soporte ha dado a conocer una nueva versión con correcciones de seguridad.

Como se dice en el blog de WordPress:

Ayer se descubrió una vulnerabilidad: se podía solicitar una URL especialmente diseñada que permitiría a un atacante saltarse una comprobación de seguridad para verificar que un usuario ha solicitado un restablecer su contraseña. Como resultado, se restablecería la contraseña de la primera cuenta sin clave en la base de datos (normalmente la cuenta del administrador) y se enviaría por correo electrónico una nueva contraseña al propietario de la cuenta. Esto no permite el acceso remoto, pero es muy molesto.

Le recomendamos encarecidamente que actualice a esta versión de WordPress lo antes posible y evite este problema / conflicto / incidencia. Para actualizar, debe ir a Herramientas > Actualizar en su panel de administrador y actualizar a WordPress 2.8.4.