به گفتهٔ هزارنویس، وردپرس دارای حفره امنیتی خطرناکی است که یک هکر با ارسال درخواستهای خاص با متد POST میتواند به صفحهٔ مدیریت و حتی هاست! شما دسترسی پیدا کند. ظاهرا هنوز باگ فیکسی برای آن ارائه نشدهاست.
در هزارنویس میخوانیم:
«طی چند ماه اخیر شاهد نفوذ به سیستم های مدیریت محتوای Wordpress بودیم که Hacker بدون داشتن رمز عبور مدیریت با ارسال درخواست های خاصی با متود POST به wp-admin قادر به دور زدن رمز عبور ( bypass ) و ورود به بخش مدیریت بوده و پس از آن به کل سیستم مدیریت محتوا و همچنین هاست دسترسی خواهد داشت.
این حفره امنیتی خطرناک که در آخرین نسخههای Wordpress نیز وجود دارد، هنوز به طور رسمی منتشر نشده و به شکل Private میباشد و به همین دلیل Wordpress هنوز patch و securirty fix رسمی جهت رفع این نقیصه ارائه نکرده است.»
منبع اصلی خبردیدگاهها:
مشکوک <دوشنبه ۱۴ اسفند ۱۳۹۱ - ۱۷:۲۰>
از کجا بدونیم راست میگه
حامد رمضانیان <دوشنبه ۱۴ اسفند ۱۳۹۱ - ۱۷:۲۷>
به هزارنویس ایمیل بزنید، ببینید که منبعش از کجاست و چرا این حرف رو زدند
ژینوس آ. <سهشنبه ۱۵ اسفند ۱۳۹۱ - ۰۱:۳۲>
رمز گذاشتن روی دایرکتوری ادمین وردپرس باعث از کار افتادن بعضی از ماجول ها مثل پست ریتینگ خواهد شد. من فکر میکنم بایستی دسترسی به wp-login.php را محدود کرد. از چند وقت پیش من با htaccess دسترسی عمومی به لاگ-این را بستم و به یک گروه آی پی دسترسی دادم. البته هنوز شک دارم که این خبر واقعیت داشته باشد. در جای دیگری چیزی در این باره پیدا نکردم.