Hôm qua, WPBeginner đã phải đối mặt với một cuộc tấn công của tin tặc. Người dùng đã cố gắng đặt lại mật khẩu, nhưng may mắn là họ không thể lấy được mật khẩu ngẫu nhiên vì trang web không sử dụng người dùng quản trị mặc định. Nhưng nó vẫn còn khó chịu để giải quyết. Các tin tặc đã cố gắng thiết lập lại mật khẩu của chúng tôi và chúng tôi đã phải xử lý nó sáu lần cho đến khi chúng tôi thêm nhiều lớp bảo mật.
cập nhật: Rõ ràng có một số vấn đề giao tiếp trong bài đăng này, làm cho chủ đề có vẻ đáng sợ hơn một chút. Tin tặc phải sử dụng email hoặc người dùng được sử dụng để đặt lại mật khẩu. Một trong những sai lầm của chúng tôi là chúng tôi đã sử dụng cùng một email mà chúng tôi đã sử dụng để trả lời các câu hỏi của người dùng. Đó là những gì có thể làm tổn hại đến an ninh hơn nữa.
WordPress đã được thông báo về lỗ hổng này và một lần nữa, bộ phận hỗ trợ nhanh đã phát hành một phiên bản sửa lỗi bảo mật mới.
Như đã nói trên blog WordPress:
Một lỗ hổng đã được phát hiện ngày hôm qua: Một URL được chế tạo đặc biệt có thể được yêu cầu cho phép kẻ tấn công bỏ qua kiểm tra bảo mật để xác minh rằng người dùng đang yêu cầu đặt lại mật khẩu. Do đó, tài khoản đầu tiên không có khóa trong cơ sở dữ liệu (thường là tài khoản quản trị viên) sẽ đặt lại mật khẩu và mật khẩu mới được gửi đến chủ sở hữu tài khoản. Điều này không cho phép truy cập từ xa, nhưng nó rất khó chịu.
Chúng tôi thực sự khuyên bạn nên nâng cấp lên phiên bản WordPress này càng sớm càng tốt và tránh sự cố. Để cập nhật, hãy đi tới Công cụ> Cập nhật trong bảng quản trị của bạn và cập nhật lên WordPress 2.8.4.
