W poprzedniej (już) wersji wordpress’a pojawiła się luka umożliwiająca na wygenerowanie nowego hasła pierwszemu użytkownikowi. Wystarczyło tylko linka spreparować:
Pisze o tym tylko dlatego, żeby polecić sposób w których zakładam użytkowników na swoich wordpressach. Pierwszy jest admin, bo z instalacji, natomiast pierwsze co robię to zakładam „swojego” admina. W takim układzie moje wordpressy były odporne na ten reset.
Luka nie jest szczególnie groźna, bo jeżeli mieliśmy wprowadzony dobry adres email dla pierwszego użytkownika, to po prostu nowe hasło dostaniemy mailem. Upierdliwe tylko.
Comments