Hôm qua, WPBeginner phải đối mặt với một cuộc tấn công của hacker. Người dùng đã cố gắng đặt lại mật khẩu, nhưng may mắn là họ không thể lấy được mật khẩu ngẫu nhiên vì trang web không sử dụng quản trị viên mặc định. Nhưng nó vẫn gây khó chịu khi đối phó với nó. Tin tặc tiếp tục đặt lại mật khẩu của chúng tôi và chúng tôi đã phải xử lý sáu lần trước khi thêm nhiều lớp bảo mật.
cập nhật: Rõ ràng, có một số vấn đề giao tiếp trong bài đăng này làm cho chủ đề có vẻ khó xử hơn một chút. Tin tặc phải sử dụng email hoặc người dùng đã sử dụng nó để đặt lại mật khẩu. Một trong những sai lầm của chúng tôi là chúng tôi sử dụng cùng một email mà chúng tôi sử dụng để trả lời các câu hỏi từ người dùng của mình. Mà có khả năng thỏa hiệp an ninh hơn nữa.
WordPress đã được thông báo về lỗ hổng này và sự hỗ trợ nhanh chóng của nó đã phát hành một phiên bản sửa lỗi bảo mật mới.
Như đã nói trên blog WordPress:
Một lỗ hổng đã được phát hiện ngày hôm qua: Có thể yêu cầu một URL được chế tạo đặc biệt để tin tặc có thể sử dụng để vượt qua kiểm tra bảo mật để xác minh xem người dùng có yêu cầu đặt lại mật khẩu hay không. Do đó, mật khẩu cho tài khoản không khóa đầu tiên trong cơ sở dữ liệu (thường là tài khoản quản trị viên) được đặt lại và mật khẩu mới được gửi qua email cho chủ tài khoản. Điều này không cho phép truy cập từ xa, nhưng nó rất khó chịu.
Chúng tôi thực sự khuyên bạn nên nâng cấp lên phiên bản WordPress này càng sớm càng tốt và tránh sự cố này. Để cập nhật, hãy đi tới Công cụ> Cập nhật trong khu vực quản trị của bạn và WordPress 2.8.4 cập nhật.
