Ayer, WPBeginner se enfrentaba a un ataque de hackers. Los usuarios intentaron restablecer la contraseña, pero afortunadamente no pudieron obtener la contraseña aleatoria porque el sitio no está utilizando el usuario administrador predeterminado. Pero, no obstante, era algo molesto de tratar. Los hackers siguieron intentando restablecer nuestra contraseña y tuvimos que lidiar con ella seis veces hasta que agregamos más capas de seguridad.
Actualizar: Aparentemente hubo algunos problemas de comunicación en esta publicación, lo que hace que el tema parezca un poco más aterrador. El hacker debe usar un correo electrónico o el usuario que se está usando para restablecer las contraseñas. Uno de nuestros errores fue que usamos el mismo correo electrónico que estábamos usando para responder a las preguntas formuladas por nuestros usuarios. Que es lo que probablemente comprometió la seguridad aún más.
WordPress fue informado de este problema de seguridad, y una vez más, su rápido soporte ha lanzado una nueva versión con correcciones de seguridad.
Como se dijo en el blog de WordPress:
Ayer se descubrió una vulnerabilidad: se podría solicitar una URL especialmente diseñada que permitiría a un atacante omitir una verificación de seguridad para verificar que un usuario solicitó un restablecimiento de contraseña. Como resultado, la primera cuenta sin una clave en la base de datos (generalmente la cuenta de administrador) tendría su contraseña restablecida y una nueva contraseña se enviaría por correo electrónico al propietario de la cuenta. Esto no permite el acceso remoto, pero es muy molesto.
Le recomendamos encarecidamente que actualice a esta versión de WordPress lo antes posible y evite este problema. Para actualizar, debe ir a Herramientas> Actualizar en su Panel de administración y actualizar a WordPress 2.8.4.
