WordPress 2.8.4 - Een cruciale beveiligingsrelease
Gisteren werd WPBeginner geconfronteerd met een aanval van een hacker. Gebruikers probeerden het wachtwoord opnieuw in te stellen, maar gelukkig konden ze het willekeurige wachtwoord niet krijgen, omdat de site de standaardbeheerder-gebruiker niet gebruikt. Maar toch was het een vervelende zaak om mee om te gaan. Hackers bleven proberen ons wachtwoord opnieuw in te stellen en we moesten er zes keer mee omgaan totdat we meer beveiligingslagen toevoegden.
Bijwerken: Blijkbaar waren er wat miscommunicatie in deze post die de kwestie een beetje beangstigender maakt. De hacker moet een e-mail gebruiken of de gebruiker die wordt gebruikt om de wachtwoorden opnieuw in te stellen. Een van onze fouten was dat we dezelfde e-mail gebruikten die we gebruikten om te reageren op de vragen van onze gebruikers. Dat heeft waarschijnlijk de beveiliging nog meer aangetast.
WordPress is van dit beveiligingsprobleem op de hoogte gebracht en opnieuw heeft hun snelle ondersteuning een nieuwe versie uitgebracht met beveiligingsoplossingen.
Zoals gezegd op WordPress Blog:
Gisteren werd een kwetsbaarheid ontdekt: er kon een speciaal vervaardigde URL worden aangevraagd waarmee een aanvaller een beveiligingscontrole kon omzeilen om te verifiëren dat een gebruiker een wachtwoordherstel had aangevraagd. Als gevolg hiervan zou het eerste account zonder een sleutel in de database (meestal het beheerdersaccount) het wachtwoord opnieuw instellen en een nieuw wachtwoord naar de accounteigenaar worden gemaild. Dit staat geen externe toegang toe, maar het is erg vervelend.
We raden u ten zeerste aan zo snel mogelijk naar deze versie van WordPress te upgraden en dit probleem te voorkomen. Als u wilt upgraden, gaat u naar Extra> Upgrade in uw beheerdersdashboard en voert u een upgrade uit naar WordPress 2.8.4.