Top.Mail.Ru
Новости

Разработчик плагина для WordPress сообщил о необходимости обновления

Новости
Екатерина Алипова
Екатерина Алипова

Редактор выходного дня RB.RU

Екатерина Алипова

Компания Updraft, разработчик плагина безопасности WordPress All-In-One Security (AIOS), используемого на миллионах сайтов WordPress, сообщила о небезопасном протоколе и посоветовала предпринимателям, делающим сайты на платформе, обновить систему. Оказалось, что плагин регистрирует текстовые пароли при попытках входа пользователя в базу данных сайта, подвергая риску безопасность учетной записи.

Разработчик плагина для WordPress сообщил о необходимости обновления
  1. Новости

Первые сообщения о возможной проблеме появились примерно три недели назад, напоминает The Bleeping Compter. Тогда один из пользователей сообщил, что плагин AIOS версии 5.1.9 не только записывает попытки входа пользователя в таблицу базы данных aiowps_audit_log, используемую для отслеживания входов в систему, выходов из системы и событий неудачного входа, но и записывает введенный пароль.

Пользователь выразил обеспокоенность, сообщил, что такой подход нарушает многочисленные стандарты соответствия безопасности, включая NIST 800-63 3, ISO 27000 и GDPR.

Однако представител службы поддержки Updraft в ответ сказал, что это «известная ошибка», и дал расплывчатое обещание, что исправление будет доступно в следующем выпуске.

Осознав критичность проблемы,поставщик AIOS в итоге выпустил версию плагина 5.2.0, которая включает исправление, предотвращающее сохранение паролей с открытым текстом и удаляющее старые записи.

«В новой версии AIOS исправлена ошибка, которая приводила к добавлению паролей пользователей в базу данных WordPress в виде обычного текста», – говорится в объявлении на сайте разработчика.

«Это было бы проблемой, если бы администраторы [вредоносных] сайтов пытались использовать введенные пароли в других сервисах, где пользователи могли использовать тот же набор символов».

Все сервисы и компании, связанные с релокацией, на одной карте

Помимо сценария со злонамеренным администрированием, веб-сайты, использующие AIOS, сталкиваются с повышенным риском взлома хакерами, поскольку злоумышленник, получивший доступ к базе данных сайта, может отфильтровать пароли пользователей в виде открытого текста.

WordPress.org статистика показывает, что на текущий момент примерно четверть пользователей AIOS уже обновили плагин до версии 5.2.0, не менее 750 тыс. сайтов все еще остаются уязвимыми.

Чтобы у хакеров не было возможностей воспользоваться указанной проблемой, разработчик советует обновить плагин AIOS до последней версии и сбросить свои предыдущие пароли.

Фото на обложке: Unsplash

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 «От радости до гнева»: как SMM-агентство позаимствовало наш фирменный стиль и корову
  2. 2 Добро и бизнес: как универсальный дизайн помогает завоевывать клиентов и делает комфортной жизнь людей с ОВЗ
  3. 3 Сайт аэропорта: 10 сервисов для удобства пассажиров и роста выручки компании
  4. 4 SEO-продвижение малого бизнеса
  5. 5 Как защитить свой сайт на WordPress: советы эксперта
ArtTech — карта разработчиков арт-технологий
Все игроки российского рынка технологий для искусства
Перейти