Dün WPBeginner bazı hacker saldırılarıyla karşı karşıyaydı. Şifre sıfırlamaya çalışan kullanıcılardı, ancak site varsayılan yönetici kullanıcısını kullanmadığı için rastgele şifreyi alamadılar. Yine de başa çıkılması can sıkıcı bir durumdu. Hackerlar şifremizi sıfırlamaya devam ettiler ve daha fazla güvenlik katmanı ekleyene kadar altı kez bununla uğraşmak zorunda kaldık.
Güncelleme: Görünüşe göre bu gönderide bazı yanlış anlaşılmalar olmuş ve bu da sorunu biraz daha korkutucu gösteriyor. Hackerın şifreleri sıfırlanan bir e-posta veya kullanıcı kullanması gerekir. Hatalarımızdan biri, kullanıcılarımızın sorduğu sorulara yanıt vermek için kullandığımız aynı e-postayı kullanmamızdı. Bu da muhtemelen güvenliği daha da tehlikeye atmış.
WordPress bu güvenlik sorunu hakkında bilgilendirildi ve bir kez daha hızlı destekleri güvenlik düzeltmeleri içeren yeni bir sürüm yayınladı.
WordPress Blog'da belirtildiği gibi:
Dün bir güvenlik açığı keşfedildi: özel olarak hazırlanmış bir URL isteği, bir saldırganın kullanıcının şifre sıfırlama talebinde bulunduğunu doğrulayan bir güvenlik kontrolünü atlamasına olanak tanıyabilirdi. Sonuç olarak, veritabanındaki ilk anahtar olmayan hesap (genellikle yönetici hesabı) şifresini sıfırlayacak ve hesap sahibine yeni bir şifre e-posta ile gönderilecekti. Bu, uzaktan erişime izin vermez, ancak çok can sıkıcıdır.
Bu WordPress sürümüne mümkün olan en kısa sürede yükseltmenizi ve bu sorundan kaçınmanızı şiddetle tavsiye ederiz. Yükseltmek için Yönetici Panelinizdeki Araçlar > Yükselt'e gitmeli ve WordPress 2.8.4'e yükseltmelisiniz.
Bir sorunuz veya öneriniz mi var? Tartışmayı başlatmak için lütfen bir yorum bırakın.