WordPress 2.8.4 – Un lanzamiento de seguridad importante

Ayer, WPBeginner se enfrent√≥ a un ataque de hackers. Los usuarios intentaron restablecer la contrase√Īa, pero afortunadamente no pudieron obtener la contrase√Īa aleatoria porque el sitio no utiliza el administrador predeterminado. Pero todav√≠a era molesto lidiar con eso. Los hackers continuaron restableciendo nuestra contrase√Īa y tuvimos que lidiar con ella seis veces antes de agregar m√°s capas de seguridad.

actualizar: Aparentemente, hubo algunos problemas de comunicaci√≥n en esta publicaci√≥n que hicieron que el tema pareciera un poco m√°s desalentador. El hacker debe usar un correo electr√≥nico o el usuario lo us√≥ para restablecer las contrase√Īas. Uno de nuestros errores fue que usamos el mismo correo electr√≥nico que usamos para responder preguntas de nuestros usuarios. Que es lo que probablemente comprometer√° a√ļn m√°s la seguridad.

WordPress ha sido informado de esta vulnerabilidad y su rápido soporte ha lanzado una nueva versión de corrección de seguridad.

  

Como se dijo en el blog de WordPress:

Ayer se descubri√≥ una vulnerabilidad: se podr√≠a solicitar una URL especialmente dise√Īada que un hacker podr√≠a usar para omitir una verificaci√≥n de seguridad para verificar si un usuario solicit√≥ un restablecimiento de contrase√Īa. Como resultado, la contrase√Īa de la primera cuenta sin clave en la base de datos (generalmente la cuenta del administrador) se restablece y se env√≠a una nueva contrase√Īa por correo electr√≥nico al propietario de la cuenta. Esto no permite el acceso remoto, pero es muy molesto.

Recomendamos encarecidamente que actualice a esta versión de WordPress lo antes posible y evite este problema. Para actualizar, vaya a Herramientas> Actualizar en su área de administración y a WordPress 2.8.4 actualización.