WordPress 2.8.4 РUna versión de seguridad crucial

Ayer, WPBeginner se enfrentaba a un ataque de hackers. Los usuarios intentaron restablecer la contrase√Īa, pero afortunadamente no pudieron obtener la contrase√Īa aleatoria porque el sitio no est√° utilizando el usuario administrador predeterminado. Pero, no obstante, era algo molesto de tratar. Los hackers siguieron intentando restablecer nuestra contrase√Īa y tuvimos que lidiar con ella seis veces hasta que agregamos m√°s capas de seguridad.

Actualizar: Aparentemente hubo algunos problemas de comunicaci√≥n en esta publicaci√≥n, lo que hace que el tema parezca un poco m√°s aterrador. El hacker debe usar un correo electr√≥nico o el usuario que se est√° usando para restablecer las contrase√Īas. Uno de nuestros errores fue que usamos el mismo correo electr√≥nico que est√°bamos usando para responder a las preguntas formuladas por nuestros usuarios. Que es lo que probablemente comprometi√≥ la seguridad a√ļn m√°s.

WordPress fue informado de este problema de seguridad, y una vez más, su rápido soporte ha lanzado una nueva versión con correcciones de seguridad.

Como se dijo en el blog de WordPress:

Ayer se descubri√≥ una vulnerabilidad: se podr√≠a solicitar una URL especialmente dise√Īada que permitir√≠a a un atacante omitir una verificaci√≥n de seguridad para verificar que un usuario solicit√≥ un restablecimiento de contrase√Īa. Como resultado, la primera cuenta sin una clave en la base de datos (generalmente la cuenta de administrador) tendr√≠a su contrase√Īa restablecida y una nueva contrase√Īa se enviar√≠a por correo electr√≥nico al propietario de la cuenta. Esto no permite el acceso remoto, pero es muy molesto.

Le recomendamos encarecidamente que actualice a esta versión de WordPress lo antes posible y evite este problema. Para actualizar, debe ir a Herramientas> Actualizar en su Panel de administración y actualizar a WordPress 2.8.4.