WordPress 2.8.4 РUna versión de seguridad crucial

Ayer, WPBeginner se enfrentaba a un ataque de hackers. Los usuarios intentaron restablecer la contrase√Īa, pero afortunadamente no pudieron obtener la contrase√Īa aleatoria porque el sitio no utiliza el usuario administrador predeterminado. Pero todav√≠a era molesto lidiar con eso. Los hackers intentaron restablecer nuestra contrase√Īa y tuvimos que lidiar con ella seis veces hasta que agregamos m√°s capas de seguridad.

actualizar: Aparentemente hubo algunos problemas de comunicaci√≥n en esta publicaci√≥n, lo que hizo que el tema pareciera un poco m√°s aterrador. El hacker debe usar un correo electr√≥nico o el usuario lo us√≥ para restablecer la contrase√Īa. Uno de nuestros errores fue que usamos el mismo correo electr√≥nico que usamos para responder las preguntas de nuestros usuarios. Que es lo que probablemente comprometi√≥ la seguridad a√ļn m√°s.

WordPress fue informado sobre este problema de seguridad y nuevamente, el soporte rápido ha lanzado una nueva versión de correcciones de seguridad.

  

Como se dijo en el blog de WordPress:

Ayer se descubri√≥ una vulnerabilidad: se podr√≠a solicitar una URL especialmente dise√Īada que permitiera a un atacante omitir una verificaci√≥n de seguridad para verificar que un usuario solicitara un restablecimiento de contrase√Īa. Como resultado, la primera cuenta sin una clave en la base de datos (generalmente la cuenta de administrador) restablecer√≠a su contrase√Īa y se enviar√° una nueva contrase√Īa al propietario de la cuenta. Esto no permite el acceso remoto, pero es muy molesto.

Recomendamos encarecidamente que actualice a esta versión de WordPress lo antes posible y evite el problema. Para actualizar, vaya a Herramientas> Actualizar en su panel de administración y actualice a WordPress 2.8.4.