Je viens de découvrir un problème de sécurité potentiellement ennuyeux avec WordPress 2.8.3. En gros, n’importe qui peut réinitialiser votre mot de passe administrateur sans aucune confirmation. Cela peut être très ennuyeux si quelqu’un décide de réinitialiser votre mot de passe administrateur constamment.
Je viens de le tester (sur l’un de mes propres blogs de test, bien sûr) et cela fonctionne. Une fois que quelqu’un a visité l’URL, le nouveau mot de passe est envoyé à votre adresse e-mail. Si vous êtes en train de faire quelque chose dans votre panneau d’administration, vous devrez peut-être vous connecter à nouveau.
Heureusement, il s’agit d’un correctif d’une ligne, que vous pourriez vouloir mettre en œuvre si une personne ennuyeuse pense qu’il est amusant de réinitialiser votre mot de passe. WordPress 2.8.3 a été publié il y a un peu plus d’une semaine. Est-ce que j’entends parler d’une version 2.8.4 pour bientôt ?
Si cela vous arrive et que, pour une raison ou une autre, vous ne recevez pas d’e-mail avec le nouveau mot de passe et que vous ne pouvez pas vous connecter à votre blog, vous pourriez envisager de réinitialiser votre mot de passe WordPress par l’intermédiaire de phpMyAdmin.
@Leland
I never did figure out how they hacked in, but yeah all they’ve done was make a few posts. I ended up reinstalling the blog completely to make sure I removed all that I might have missed.
@Detoam: No problem. Sorry to hear your blog was hacked. Are you sure all they did was create a few posts? Do you know how they hacked in the first place?
Thank You for the tip. One of my blogs was recently hacked in. Strangely all that someone did was create a few posts. Still can’t figure out why.
@RandallB: These kinda things happen sometimes. Since this is an open source project, anyone can find and fix these problems. Hopefully an official fix will be released soon.
Oh Joy now I get to worry about this?
Very interesting that they would do not make sure for something like this.