WordPress 2.8.4 – 一个关键的安全版本

昨天,WPBeginner 面临一些黑客攻击。是用户尝试重置密码,但幸运的是他们无法获得随机密码,因为该站点未使用默认管理员用户。但无论如何,这是一件烦人的事情。黑客不断尝试重置我们的密码,我们不得不处理六次,直到我们添加更多安全层。

更新:显然这篇文章中有一些沟通不畅,这使得这个问题看起来有点可怕。黑客必须使用电子邮件或用于重置密码的用户。我们的一个错误是我们使用了我们用来回复用户提出的问题的同一封电子邮件。这可能会进一步损害安全性。

WordPress 被报告了这个安全问题,他们的快速支持再次发布了一个带有安全修复的新版本。

正如WordPress 博客上所说:

昨天发现了一个漏洞:可以请求一个特制的 URL,使攻击者可以绕过安全检查来验证用户请求重置密码。结果,数据库中没有密钥的第一个帐户(通常是管理员帐户)将重置其密码,并将新密码通过电子邮件发送给帐户所有者。这不允许远程访问,但是很烦人。

我们强烈建议您尽快升级到此版本的 WordPress 并避免此问题。要升级,您应该转到管理面板中的工具 > 升级并升级到 WordPress 2.8.4。