Ayer, WPBeginner estaba sufriendo un ataque de hackers. Eran usuarios intentando restablecer la contraseña, pero afortunadamente no pudieron obtener la contraseña aleatoria porque el sitio no usa el usuario administrador predeterminado. Pero aun así fue algo molesto con lo que lidiar. Los hackers siguieron intentando restablecer nuestra contraseña y tuvimos que lidiar con ello seis veces hasta que agregamos más capas de seguridad.
Actualización: Aparentemente hubo una mala comunicación en esta publicación que hace que el problema parezca un poco más aterrador. El hacker debe usar un correo electrónico o el usuario que se está utilizando para restablecer las contraseñas. Uno de nuestros errores fue que usamos el mismo correo electrónico que estábamos usando para responder a las preguntas de nuestros usuarios. Lo que probablemente comprometió aún más la seguridad.
Se informó a WordPress sobre este problema de seguridad y, una vez más, su rápido soporte ha lanzado una nueva versión con correcciones de seguridad.
Como se indica en el Blog de WordPress:
Ayer se descubrió una vulnerabilidad: se podría solicitar una URL especialmente diseñada que permitiría a un atacante eludir una verificación de seguridad para verificar que un usuario solicitó un restablecimiento de contraseña. Como resultado, la primera cuenta sin una clave en la base de datos (generalmente la cuenta de administrador) tendría su contraseña restablecida y se enviaría una nueva contraseña por correo electrónico al propietario de la cuenta. Esto no permite el acceso remoto, pero es muy molesto.
Le recomendamos encarecidamente que actualice a esta versión de WordPress lo antes posible y evite este problema. Para actualizar, debe ir a Herramientas > Actualizar en su Panel de administración y actualizar a WordPress 2.8.4.
¿Tienes alguna pregunta o sugerencia? Por favor, deja un comentario para iniciar la discusión.