Wordpress远程管理重置密码漏洞的修补程序

Question

该漏洞记录在here中。这个补丁应该是分支，就像在here /2.8/wp-login.php- the new patch should look this (check line 118)的190行记录的那样--我的问题是-这个补丁足够了吗？如果没有，有什么建议吗？

Answer 1

据我所知，这个补丁弥补了这个漏洞。然而，我在我管理的每个可湿性粉剂网站上采取的另一个基本安全措施是删除"admin“用户，理想情况下永远不要让任何用户的用户名与他们的显示名称相同。这使安全性加倍，因为坏人必须猜测用户名，并找出破解密码的方法。

通过搜索WordPress +安全性，您可以找到许多额外的安全措施，但我坚持使用更改用户名、在安装时更改数据库表名以及基本权限之类的方法。到目前为止，这是工作良好，没有吨的额外维护，在可湿性粉剂升级，一些更密集的安全措施所需的吨。

Answer 2

是的，这是针对Wordpress漏洞的一个非常好的补丁。

if ( empty( $key ) || is_array( $key ) )
    return new WP_Error('invalid_key', __('Invalid key'));

这不是SQL注入，如果是，那么您可以转储整个用户表。更改你的名字不是一个很好的安全措施。让你的代码保持最新是你必须要做的，否则你会被黑客攻击。