WordPress远程管理重置密码漏洞补丁

Question

该漏洞记录在此处。该补丁据称是1行替换 如此处记录在branches/2.8/wp-login.php第190行中 - 新补丁应该如下所示（检查第 118 行） - 我的问题是 - 这个补丁足够吗？如果没有，有什么建议吗？

Answer 1

是的，这是针对 WordPress 漏洞的一个非常好的补丁。

if ( empty( $key ) || is_array( $key ) )
    return new WP_Error('invalid_key', __('Invalid key'));

这不是 SQL 注入，如果是，那么您可以转储整个用户表。更改姓名并不是一个很好的安全措施。保持代码最新是您必须始终做的事情，否则您将被黑客攻击。

Answer 2

据我了解，补丁堵住了那个特定的漏洞。然而，我对我管理的每个 WP 站点采取的另一项基本安全措施是删除“admin”用户，并且最好不要让任何用户的用户名与其显示名称相同。这使得安全性加倍，因为坏人必须猜测用户名，并找出破解密码的方法。

通过搜索 WordPress + 安全性，您可以找到很多额外的安全措施，但我一直坚持更改用户名、更改安装时的数据库表名称以及基本权限等内容。到目前为止，这种方法运作良好，在 WP 升级期间不需要进行大量额外的维护，而某些更严格的安全措施则需要这些额外的维护。