WordPress 2.8.4 - Une mise à jour de sécurité cruciale
Hier, WPBeginner faisait face à une attaque informatique. Les utilisateurs essayaient de réinitialiser le mot de passe, mais heureusement, ils n'ont pas pu obtenir le mot de passe aléatoire, car le site n'utilise pas l'utilisateur admin par défaut. Mais néanmoins, c'était une chose ennuyeuse à gérer. Les pirates ont continué à essayer de réinitialiser notre mot de passe et nous avons dû y faire face six fois avant d'ajouter de nouvelles couches de sécurité..
Mettre à jour: Apparemment, il y avait un problème de communication dans ce post qui rend la question un peu plus effrayante. Le pirate informatique doit utiliser un courrier électronique ou l'utilisateur utilisé pour réinitialiser les mots de passe. Une de nos erreurs est que nous avons utilisé le même email que nous utilisions pour répondre aux questions posées par nos utilisateurs. C'est ce qui a probablement compromis davantage la sécurité.
WordPress a été informé de ce problème de sécurité et, une fois encore, leur assistance rapide a publié une nouvelle version avec des correctifs de sécurité..
Comme dit sur le blog WordPress:
Hier, une vulnérabilité a été découverte: une URL spécialement conçue pourrait permettre à un attaquant de contourner un contrôle de sécurité afin de vérifier si un utilisateur avait demandé la réinitialisation du mot de passe. En conséquence, le mot de passe du premier compte sans clé dans la base de données (généralement le compte admin) sera réinitialisé et un nouveau mot de passe sera envoyé par courrier électronique au propriétaire du compte. Cela ne permet pas l'accès à distance, mais c'est très ennuyeux.
Nous vous recommandons vivement de mettre à niveau vers cette version de WordPress dès que possible et d'éviter ce problème. Pour mettre à niveau, vous devriez aller dans Outils> Mettre à jour dans votre panneau d’administration et passer à WordPress 2.8.4.