Acabo de descubrir un problema de seguridad potencialmente molesto en WordPress 2.8.3. Básicamente, cualquiera puede restablecer su contraseña de administrador sin ninguna confirmación. Esto podría ser una gran molestia si alguien decide restablecer su contraseña de administrador constantemente.
Acabo de probar esto (en uno de mis propios blogs de prueba, por supuesto) y realmente funciona. Después de que alguien visite la URL, envía la nueva contraseña a tu dirección de correo electrónico. Si estás haciendo algo en el panel de administración, es posible que tengas que volver a conectarte.
Por suerte, se trata de una solución de una sola línea, que quizás quieras implementar si alguna persona molesta cree que es divertido restablecer tu contraseña. WordPress 2.8.3 fue lanzado hace poco más de una semana. ¿Escucho que pronto saldrá WordPress 2.8.4?
Si esto te sucede, y por alguna razón no recibes un correo electrónico con la nueva contraseña y descubres que no puedes iniciar sesión en tu blog, es posible que desees buscar la forma de restablecer tu contraseña de WordPress a través de phpMyAdmin.
@Leland
I never did figure out how they hacked in, but yeah all they’ve done was make a few posts. I ended up reinstalling the blog completely to make sure I removed all that I might have missed.
@Detoam: No problem. Sorry to hear your blog was hacked. Are you sure all they did was create a few posts? Do you know how they hacked in the first place?
Thank You for the tip. One of my blogs was recently hacked in. Strangely all that someone did was create a few posts. Still can’t figure out why.
@RandallB: These kinda things happen sometimes. Since this is an open source project, anyone can find and fix these problems. Hopefully an official fix will be released soon.
Oh Joy now I get to worry about this?
Very interesting that they would do not make sure for something like this.