Компания Updraft, разработчик плагина безопасности WordPress All-In-One Security (AIOS), используемого на миллионах сайтов WordPress, сообщила о небезопасном протоколе и посоветовала предпринимателям, делающим сайты на платформе, обновить систему. Оказалось, что плагин регистрирует текстовые пароли при попытках входа пользователя в базу данных сайта, подвергая риску безопасность учетной записи.
Первые сообщения о возможной проблеме появились примерно три недели назад, напоминает The Bleeping Compter. Тогда один из пользователей сообщил, что плагин AIOS версии 5.1.9 не только записывает попытки входа пользователя в таблицу базы данных aiowps_audit_log, используемую для отслеживания входов в систему, выходов из системы и событий неудачного входа, но и записывает введенный пароль.
Пользователь выразил обеспокоенность, сообщил, что такой подход нарушает многочисленные стандарты соответствия безопасности, включая NIST 800-63 3, ISO 27000 и GDPR.
Однако представител службы поддержки Updraft в ответ сказал, что это «известная ошибка», и дал расплывчатое обещание, что исправление будет доступно в следующем выпуске.
Осознав критичность проблемы,поставщик AIOS в итоге выпустил версию плагина 5.2.0, которая включает исправление, предотвращающее сохранение паролей с открытым текстом и удаляющее старые записи.
«В новой версии AIOS исправлена ошибка, которая приводила к добавлению паролей пользователей в базу данных WordPress в виде обычного текста», – говорится в объявлении на сайте разработчика.
«Это было бы проблемой, если бы администраторы [вредоносных] сайтов пытались использовать введенные пароли в других сервисах, где пользователи могли использовать тот же набор символов».
Помимо сценария со злонамеренным администрированием, веб-сайты, использующие AIOS, сталкиваются с повышенным риском взлома хакерами, поскольку злоумышленник, получивший доступ к базе данных сайта, может отфильтровать пароли пользователей в виде открытого текста.
WordPress.org статистика показывает, что на текущий момент примерно четверть пользователей AIOS уже обновили плагин до версии 5.2.0, не менее 750 тыс. сайтов все еще остаются уязвимыми.
Чтобы у хакеров не было возможностей воспользоваться указанной проблемой, разработчик советует обновить плагин AIOS до последней версии и сбросить свои предыдущие пароли.
Фото на обложке: Unsplash
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter