WordPress曝重大密码漏洞及修复方法

  wordpress是世界公认的最强大最流行的博客程序。由于他完全免费开源,适合二次开发,它众多的主题和插件,当今有无数的wordpress博主在使用他,所以一个致命的漏洞将会给千千万万的网站用户带来损失。

  Wordpress官方此前在WordPress trac上发布了一个修复WordPress 2.8.x漏洞的信息Changeset 11798,攻击者可以通过一个特定的网址绕过安全检查,验证用户并且重设密码。结果会导致数据库中第一个账户(通常是管理员帐户)的密码被重置,并且一个新的密码会被电邮至帐户所有者,虽然别人可能不会同时盗取了你用于重置密码的邮箱账户,但是安全风险总是有。官方已经修复了这个问题,并且不断测试其他可能会出现的情况。或者下载官方最新版WordPress2.8.4,此版本已经修复了所有已知的问题,强烈建议所有WordPress用户更新。

  Wordpress 2.8.4英文版下载地址:http://wordpress.org/wordpress-2.8.4.zip

  目前wordpress 2.8.4 115.html">简体中文版还没有发布出来,WORDPRESS2.8.x中文用户可以登录后台,点自动更新,在后台打上最新补丁就可以修复此密码漏洞。用后台修复不会影响到中文版用户,wordpress2.8.3中文版演示站www.xrnic.cn/cms 通过后台更新已经成功,中文版升级完全不受影响,大家可放心升级。

  转载请注明由wordpress2.8.3中文版演示站提供,admin5.com首发。谢谢。

时间: 2024-08-02 08:45:58

WordPress曝重大密码漏洞及修复方法的相关文章

微软Office惊曝严重漏洞:修复方法在此

日前,多家安全软件企业发布公告称,微软Office的OLE(对象嵌入与链接)处理机制上存在一个严重漏洞. 黑客和攻击者可能利用此漏洞通过诱使用户打开藏有恶意代码的Office文件,从而在系统上执行任意命令,达到控制用户系统目的. 据悉,该漏洞影响Office所有版本.用户可能收到一个包含恶意代码的Office文件(包含但不限于Word.PPT.Excel),点击尝试打开文件时会从恶意网站下载特定的HTA(HTML应用)恶意程序并执行,攻击者从而获得控制权. 随着微软周二补丁推送日到来,微软已在累

MySQL管理员须知的两大漏洞与修复方法

上月末,一位名叫Dawid Golunski的波兰黑客发现了MySQL中存在的两个关键漏洞:远程root代码执行漏洞和权限升级漏洞.MySQL,MariaDB和Percona Server的管理员需要检查其数据库版本了,因为攻击者可以通过链接这两个关键漏洞,完全接管数据库服务器. 根据Dawid Golunski的观点,这两个关键漏洞可以导致任意代码执行,root权限升级和服务器损坏影响MySQL和其衍生版本,如Percona Server,Percona XtraDB Cluster和Mari

wordpress忘记后台密码最快解决方法

只要上传一个文件到FTP根目录,直接可以重置新密码了,操作方法如下: 1.下载密码修改文件password.php 2.上传password.php到空间的根目录 3.在浏览器中输入:http://你的网址/password.php 4.在打开的界面中输入新密码即可. 是不是非常简单,忘记密码的朋友用这个方法最快速.简单有效了.  代码如下 复制代码 <?php //password resetter include("wp-config.php"); include("

WordPress曝未经授权的密码重置漏洞(CVE-2017-8295 )

漏洞提交者:Dawid Golunski 漏洞编号:CVE-2017-8295 发布日期:2017-05-03 修订版本:1.0 漏洞危害:中/高 一.漏洞 WordPress内核<= 4.7.4存在未经授权的密码重置(0day) 二.背景 WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统.截止2017年2月,Alexa排名前1000万的站点中约有27.5%使用该管理系统.据报道有超过6000万站点使用WordPress进行站点管理或者作为博客系统. 三.介绍

绿盟科技网络安全威胁周报2017.18 ​WordPress 远程代码执行/非授权重置密码漏洞CVE-2017-8295

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-18,绿盟科技漏洞库本周新增36条,其中高危5条.本次周报建议大家关注 WordPress 远程代码执行/非授权重置密码漏洞 . CVE-2016-10033是之前phpmailer在不同场景下的新利用,漏洞可使未经身份验证的远程攻击者在Web服务器用户上下文中执行任意代码,远程控制目标web应用.CVE-2017-8295存在于WordPress 4.7.4之前版本,远程攻击者通过构造密码重置请求,并伪造Host HTTP标识头,可以获

Jsp万能密码漏洞修复例子

如果网站出现这种"万能密码"漏洞该怎么办呢 'or'='or' 漏洞修复 方法有很多在这里介绍两种,咱们使用第2种 方法1: Replace过滤字符 解决方法:查找login.asp下的  代码如下 复制代码 username=request.Form("name") pass=request.Form("pass") 修改为:  代码如下 复制代码 username=Replace(request.Form("name"),

类Unix系统Bash漏洞的检测及修复方法

近期Bash漏洞让不少类Unix躺枪.. 下面是相关的检测方法和修复方法(内容来源阿里云开发者论坛) ----------------------------------------------------------------------------------------------------- Bash紧急漏洞预警,请所有正在使用Linux服务器的用户注意.该漏洞直接影响基于 Unix 的系统(如 Linux.OS X 等),可导致远程攻击者在受影响的系统上执行任意代码. [已确认被成

WordPress再曝流行插件漏洞 影响上千万网站

本文讲的是WordPress再曝流行插件漏洞 影响上千万网站,WordPress的一个最为流行的插件现重大安全漏洞,导致上千万网站面临黑客入侵的危险. 该漏洞由WordPress漏洞扫描器的开发者瑞恩·迪赫斯特(Ryan Dewhurst)发现,该插件名为"WordPress SEO by Yoast",用于网站的搜索引擎优化,是最流行的WordPress插件之一,目前下载量已超过1400万,所有在1.7.3.3及以前的版本均可被SQL盲注攻击. 该漏洞存在于admin/class-b

wordpress后台登陆密码找回方法

若只是忘记密码,但还记得邮箱的话,那就很好办,但是如果你连邮箱账号都忘记的话,那就稍微有点麻烦了,方法如下: 1.进入自己的服务器后台,登陆phpmyadmin,登陆后第一步是选择数据库,一般虚拟主机都带有phpmyadmin.选择要修改的数据库,找到用户表(WP默认用户表是wp_users). 2.然后找到密码字段(user_pass),修改密码字段值(即MD5密码),修改密码字段值(即MD5密码)为: 5d41402abc4b2a76b9719d911017c592 3.回到WordPres