昨天,WPBeginner 遭遇黑客攻击。用户试图重置密码,但幸运的是,他们无法获得随机密码,因为该网站没有使用默认的管理员用户。但尽管如此,这仍然是一件令人烦恼的事情。黑客不断尝试重置我们的密码,我们不得不处理六次,直到我们添加了更多的安全层。
昨天,WPBeginner遭遇了一些黑客攻击。该用户试图重置密码,但幸运的是,由于该网站没有使用默认的管理员用户,因此他们无法获得随机密码。但尽管如此,这还是很麻烦。黑客不断尝试重置我们的密码,我们必须处理六次才能添加更多安全层。
更新: Apparently there were some miscommunication in this post which makes the issue look a bit more frightening. The hacker must use an email or the user that is being used to reset the passwords. One of our mistake was that we used the same email we were using to respond to the questions asked by our users. Which is what probably compromised the security even more.
更新:显然,在这篇文章中有些沟通不畅,这使问题看起来更加可怕。 黑客必须使用电子邮件或用于重设密码的用户。 我们的错误之一是我们使用了相同的电子邮件来答复用户提出的问题。 这可能会进一步损害安全性。
WordPress 被报告存在此安全问题,他们的快速支持再次发布了带有安全修复程序的新版本。
据报道 WordPress 存在此安全问题,他们的明确支持人员再次发布了带有安全修复程序的新版本。
As said on WordPress 博客:
如WordPress 博客上所述:
昨天发现了一个漏洞:可以请求特制的 URL,该 URL 允许攻击者绕过安全检查以验证用户请求的密码重置。因此,数据库中第一个没有密钥的帐户(通常是管理员帐户)将重置其密码,并且新密码将通过电子邮件发送给帐户所有者。这不允许远程访问,但这很烦人。
昨天发现了一个漏洞,可能需要特制的 URL,攻击者可以利用该漏洞绕过安全检查来对请求密码重置的用户进行身份验证。因此,数据库中第一个没有密钥的帐户(通常是管理员帐户)将重置其密码,并将新密码通过电子邮件发送给帐户所有者。这不允许远程访问,但很烦人。
我们强烈建议您尽快升级到此版本的 WordPress 并避免此问题。要升级,您应该转到管理面板中的工具 > 升级并升级到 WordPress 2.8.4。
强烈建议您尽快升级到此版本的 WordPress,以避免此问题。要升级,您应该转到管理面板中的“工具”>“升级”并升级到 WordPress 2.8.4。
翻译自: https://www.wpbeginner.com/news/wordpress-2-8-4-a-crucial-security-release/