WordPress 2.8.4-重要安全版本


昨天,WPBeginner面臨一些黑客攻擊。 是用戶試圖重置密碼,但幸運的是,由於該站點未使用默認的管理員用戶,他們無法獲得隨機密碼。 但是儘管如此,這還是一件令人討厭的事情。 黑客一直試圖重置我們的密碼,我們不得不處理了六次,直到我們添加了更多的安全層。

更新: 顯然,這篇文章中有些溝通不暢,這使問題看起來更加可怕。 黑客必須使用電子郵件或用於重設密碼的用戶。 我們的錯誤之一是我們使用了相同的電子郵件來答復用戶提出的問題。 這可能會進一步損害安全性。

WordPress被報導存在此安全問題,他們的快速支持再次發布了具有安全修復程序的新版本。

如WordPress博客上所述:

昨天發現了一個漏洞:可能要求一個特製的URL,攻擊者可以利用該URL繞過安全檢查,以驗證用戶是否請求密碼重置。 結果,第一個在數據庫中沒有密鑰的帳戶(通常是admin帳戶)將被重置其密碼,並將新密碼通過電子郵件發送給帳戶所有者。 這不允許遠程訪問,但是非常令人討厭。

我們強烈建議您盡快升級到此版本的WordPress,避免出現此問題。 要升級,您應該轉到管理面板中的工具>升級併升級到WordPress 2.8.4。