Igår drabbades WPBeginner av en hackerattack. Det var användare som försökte återställa lösenordet, men lyckligtvis kunde de inte få det slumpmässiga lösenordet eftersom webbplatsen inte använder standardadministratörsanvändaren. Men likväl var det en irriterande sak att hantera. Hackare fortsatte att försöka återställa vårt lösenord och vi fick hantera det sex gånger tills vi lade till fler säkerhetslager.
Uppdatering: Tydligen fanns det en viss misskommunikation i det här inlägget som gör att problemet verkar lite mer skrämmande. Hackaren måste använda en e-postadress eller användaren som används för att återställa lösenorden. Ett av våra misstag var att vi använde samma e-postadress som vi använde för att svara på frågor som ställdes av våra användare. Vilket är vad som troligen komprometterade säkerheten ännu mer.
WordPress informerades om detta säkerhetsproblem, och återigen har deras snabba support släppt en ny version med säkerhetskorrigeringar.
Som nämnts på WordPress Blog:
Igår upptäcktes en sårbarhet: en specialutformad URL kunde begäras som skulle tillåta en angripare att kringgå en säkerhetskontroll för att verifiera att en användare begärde en lösenordsåterställning. Som ett resultat skulle det första kontot utan en nyckel i databasen (vanligtvis administratörskontot) få sitt lösenord återställt och ett nytt lösenord skulle skickas via e-post till kontoinnehavaren. Detta tillåter inte fjärråtkomst, men det är mycket irriterande.
Vi rekommenderar starkt att du uppgraderar till denna version av WordPress så snart som möjligt och undviker detta problem. För att uppgradera bör du gå till Verktyg > Uppgradera i din Adminpanel och uppgradera till WordPress 2.8.4.
Har du en fråga eller ett förslag? Lämna gärna en kommentar för att starta diskussionen.