Je viens de découvrir un problème de sécurité potentiellement gênant avec WordPress 2.8.3. En gros, n'importe qui peut réinitialiser votre mot de passe administrateur sans aucune confirmation. Cela pourrait être une nuisance majeure si quelqu'un décide de réinitialiser constamment votre mot de passe administrateur.
Je viens de tester cela (sur l'un de mes propres blogs de test, bien sûr) et cela fonctionne réellement. Après que quelqu'un visite l'URL, le nouveau mot de passe est envoyé à votre adresse e-mail. Si vous êtes en train de faire quelque chose dans votre panneau d'administration, vous devrez peut-être vous reconnecter.
Heureusement, ce n’est qu'une correction d’une seule ligne, que vous pourriez vouloir implémenter si une personne ennuyeuse pense que c’est amusant de réinitialiser votre mot de passe. WordPress 2.8.3 est sorti il y a un peu plus d’une semaine. Est-ce que j’entends un WordPress 2.8.4 bientôt ?
Si cela vous arrive, et que pour une raison quelconque vous ne recevez pas d’e-mail avec le nouveau mot de passe et que vous ne pouvez pas vous connecter à votre blog, vous pourriez vouloir envisager de réinitialiser votre mot de passe WordPress via phpMyAdmin.
@Leland
Je n'ai jamais compris comment ils s'étaient introduits, mais oui, tout ce qu'ils ont fait, c'est poster quelques messages. J'ai fini par réinstaller complètement le blog pour être sûr d'avoir tout retiré ce que j'aurais pu manquer.
@Detoam : Pas de problème. Désolé d'apprendre que votre blog a été piraté. Êtes-vous sûr qu'ils ont seulement créé quelques articles ? Savez-vous comment ils ont piraté en premier lieu ?
Merci pour le tuyau. L'un de mes blogs a été piraté récemment. Étrangement, tout ce que quelqu'un a fait, c'est créer quelques articles. Je n'arrive toujours pas à comprendre pourquoi.
@RandallB : Ces choses arrivent parfois. Puisqu'il s'agit d'un projet open source, n'importe qui peut trouver et corriger ces problèmes. J'espère qu'un correctif officiel sera bientôt publié.
Oh joie, maintenant je dois m'inquiéter de ça ?
Très intéressant qu'ils n'aient pas vérifié quelque chose comme ça.