WordPress 2.8.4 - Un Comunicado de Seguridad Crucial

Ayer, AprenderWP se enfrentaba a un ataque de hackers. Los usuarios estaban intentando restablecer la contraseña, pero afortunadamente no pudieron obtener la contraseña aleatoria porque el sitio no está usando el usuario administrador predeterminado. Pero, sin embargo, era una cosa molesta con la que lidiar. Los hackers seguían intentando restablecer nuestra contraseña y tuvimos que lidiar con ella seis veces hasta que añadimos más capas de seguridad.

Actualización: Aparentemente hubo alguna falta de comunicación en este post que hace que el problema parezca un poco más aterrador. El hacker debe utilizar un correo electrónico o el usuario que se está utilizando para restablecer las contraseñas. Uno de nuestros errores fue que usamos el mismo correo electrónico que usábamos para responder a las preguntas de nuestros usuarios. Que es lo que probablemente comprometió aún más la seguridad.

WordPress fue informado de este problema de seguridad, y una vez más su rápido soporte ha lanzado una nueva versión con correcciones de seguridad.

Como se dijo en el blog de WordPress:

Ayer se descubrió una vulnerabilidad: se podía solicitar una URL especialmente diseñada que permitiría a un atacante eludir una comprobación de seguridad para verificar que un usuario ha solicitado un restablecimiento de contraseña. Como resultado, la primera cuenta sin una clave en la base de datos (normalmente la cuenta de administrador) tendría su contraseña restablecida y una nueva contraseña sería enviada por correo electrónico al propietario de la cuenta. Esto no permite el acceso remoto, pero es muy molesto.

Le recomendamos encarecidamente que actualice a esta versión de WordPress lo antes posible y evite este problema. Para actualizar, debe ir a Herramientas> Actualizar en su Panel de Administración y actualizar a WordPress 2.8.4.