11 août 2009
Ce hack permet seulement de réinitialiser le mot de passe administrateur mais ne permet en aucun cas de le récupérer. En d’autres termes, il est possible de déclencher la procédure en entrant une URL du type :
http://www.domaine.com/wp-login.php?action=rp&key[]= |
L’administrateur du site recevra alors son mot de passe par email.
Un hack qui peut devenir très gênant dans certains cas de figure comme celui décrit par Korben.
Heureusement il existe des solutions simples permettant de résoudre ce problème (en attendant un correctif officiel apporté par l’équipe de développement de WordPress).
Ma préférence se porte sur celle décrite par piouPiouM’s dev qui consiste à insérer un patch dans le fichier functions.php de votre thème wordpress.
Une manipulation que j’encourage tout possesseur de blog WordPress à effectuer en attendant un correctif officiel. Vous n’aurez alors qu’a supprimer la dite fonction de votre thème, ce qui reste très propre comparé à certaines solutions disponibles sur le web.
Correctif pour la faille WordPress de réinitialisation de mot de passe.
Découverte d’une faille de sécurité dans WordPress permettant de réinitialiser le mot de passe administrateur ! http://bit.ly/qcue4
RT @Nukium : Découverte d’une faille de sécurité dans WordPress permettant de réinitialiser le mot de passe admin http://bit.ly/qcue4
WordPress : Nouvelle faille de sécurité pour forcer la réinitialisation du compte administrateur (compte par défaut) http://bit.ly/F6pD