Разработчик плагина для WordPress сообщил о необходимости обновления

Первые сообщения о возможной проблеме появились примерно три недели назад, напоминает The Bleeping Compter. Тогда один из пользователей сообщил, что плагин AIOS версии 5.1.9 не только записывает попытки входа пользователя в таблицу базы данных aiowps_audit_log, используемую для отслеживания входов в систему, выходов из системы и событий неудачного входа, но и записывает введенный пароль.

Пользователь выразил обеспокоенность, сообщил, что такой подход нарушает многочисленные стандарты соответствия безопасности, включая NIST 800-63 3, ISO 27000 и GDPR.

Однако представител службы поддержки Updraft в ответ сказал, что это «известная ошибка», и дал расплывчатое обещание, что исправление будет доступно в следующем выпуске.

Осознав критичность проблемы,поставщик AIOS в итоге выпустил версию плагина 5.2.0, которая включает исправление, предотвращающее сохранение паролей с открытым текстом и удаляющее старые записи.

«В новой версии AIOS исправлена ошибка, которая приводила к добавлению паролей пользователей в базу данных WordPress в виде обычного текста», – говорится в объявлении на сайте разработчика.

«Это было бы проблемой, если бы администраторы [вредоносных] сайтов пытались использовать введенные пароли в других сервисах, где пользователи могли использовать тот же набор символов».

Помимо сценария со злонамеренным администрированием, веб-сайты, использующие AIOS, сталкиваются с повышенным риском взлома хакерами, поскольку злоумышленник, получивший доступ к базе данных сайта, может отфильтровать пароли пользователей в виде открытого текста.

WordPress.org статистика показывает, что на текущий момент примерно четверть пользователей AIOS уже обновили плагин до версии 5.2.0, не менее 750 тыс. сайтов все еще остаются уязвимыми.

Чтобы у хакеров не было возможностей воспользоваться указанной проблемой, разработчик советует обновить плагин AIOS до последней версии и сбросить свои предыдущие пароли.

Фото на обложке: Unsplash