Как исправить уязвимость несанкционированного вызова механизма восстановления пароля в WordPress
Доброго времени суток. Не так давно была опубликована новость об 0-day уязвимости в WordPress. Сама уязвимость найдена еще в июле 2016 года и пока не исправлена. По утверждениям представителей безопасности WordPress проблема не столь важная и поэтому имеет низкий приоритет.
И чтобы проблема представляла угрозу должны быть несколько факторов:
- Неправильная настройка http сервера, включено отображение ошибок.
- Пользователь должен ответить на адрес электронной почты для сброса пароля
- На почте включен автоответчик
- Сервер электронной почты должен быть взломан или перегружен, а сообщение отправлено отправителю с неразрешенным содержимым
К сожалению, ко многим настройкам мы не имеем доступа и как же быть? А решается все очень просто. Открываем файл functions.php темы, которую мы используем и добавляем следующий код:
add_filter( 'wp_mail_from', function( $from_email ) { return 'wordpress@mysite.com'; } );
wp_mail_from – изменяет адрес электронной почты сообщения, отправленного с помощью wp_mail. Функция должна возвращать email адрес. Более подробно о wp_mail_from можно прочитать в официальной документации
Вот и все. Следите за обновлениями WordPress.
Чтобы не пропустить выхода новых статей подписываемя: VK, twitter, facebook. И канал на youtube