昨天,面临一些黑客攻击。是用户试图重置密码,但幸好他们无法获得随机密码,因为该网站没有使用默认的管理员用户。但尽管如此,处理这件事仍然很烦人。黑客一直试图重置我们的密码,我们不得不处理它六次,直到我们添加了更多的安全层。

更新:显然这篇文章中存在一些误解,这使问题看起来更加可怕。黑客必须使用电子邮件或用于重置密码的用户。我们的一个错误是我们使用了我们用来回复用户提出的问题的同一封电子邮件。这可能会更加危及安全性。

WordPress被报道了这个安全问题,他们的快速支持又发布了一个带有安全修复程序的新版本。

正如WordPress博客上所说的那样:

昨天发现了一个漏洞:可能会请求一个特制的URL,允许攻击者绕过安全检查以验证用户是否要求重置密码。因此,数据库中没有密钥的第一个帐户(通常是管理员帐户)将重置其密码,并将新密码通过电子邮件发送给帐户所有者。这不允许远程访问,但它非常烦人。

评论被关闭。