Плагін AIOS для WordPress зберігав паролі користувачів у відкритому вигляді

Плагін All-In-One Security (AIOS), який встановлений на понад мільйоні сайтів на WordPress, випустив оновлення після помилки, яка з’явилася в версії 5.1.9 програмного забезпечення, через яку паролі користувачів зберігалися у базі даних у вікритому вигляді.

“Зловмисний адміністратор сайту (тобто користувач, який вже ввійшов на сайт як адміністратор) міг їх прочитати”, – зазначили представники UpdraftPlus, розробники плагіна AIOS.

Проблема виникла майже три тижні тому, коли користувач плагіна повідомив, що він “абсолютно шокований, що плагін для безпеки робить таку базову помилку безпеки”.

Розробники AIOS також зазначили, що оновлення видаляють існуючі дані з бази даних, але наголосили, що успішна експлуатація можлива через інші засоби і наявності адміністративних привілеїв або несанкціонованого доступу до незашифрованих резервних копій сайту.

“Таким чином, можливість для когось отримати привілеї, які він раніше не мав, є незначною. Виправлена версія запобігає реєстрації паролів та очищує всі попередні збережені паролі.”, – заявили у компанії.

Як запобіжний захід, рекомендується увімкнути двофакторну автентифікацію в WordPress і змінити паролі, особливо якщо на інших сайтах використовувалися ті самі комбінації облікових даних.