WordPress 2.8.4 – Edición de seguridad crítica

Ayer, WPBeginner se enfrentó a un ataque de piratas informáticos. El usuario trató de restablecer la contraseña, pero afortunadamente no pudo obtener ninguna porque el sitio no usa el usuario administrador predeterminado. Pero de todos modos, eso es algo desagradable. Los piratas informáticos seguían intentando restablecer nuestras contraseñas y tuvimos que lidiar con eso seis veces hasta que agregamos más capas de seguridad.

renovación: Obviamente, hay algunos malentendidos en este artículo, lo que hace que el tema parezca un poco aterrador. Los piratas informáticos deben usar un correo electrónico o un nombre de usuario para restablecer la contraseña. Uno de nuestros errores fue que usamos el mismo correo electrónico que usamos para responder las preguntas de los usuarios. Esto puede comprometer aún más la seguridad.

WordPress es consciente de este problema de seguridad y su soporte oportuno ha lanzado nuevamente una nueva versión con correcciones de seguridad.

Como se indica en el blog de WordPress:

Ayer se descubrió una vulnerabilidad: se podría solicitar una URL especialmente diseñada que permite a un atacante eludir los controles de seguridad para verificar que un usuario ha solicitado un restablecimiento de contraseña. Como resultado, la primera cuenta en la base de datos sin la clave (generalmente la cuenta del administrador) tiene un restablecimiento de contraseña y la nueva contraseña se envía por correo electrónico al propietario de la cuenta. Esto no permite el acceso remoto, pero es molesto.

Le recomendamos encarecidamente que actualice a esta versión de WordPress lo antes posible y evite este problema. Para actualizar, debe ir a Herramientas> Actualizar en el panel de administración y actualizar a WordPress 2.8.4.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *