超过一百万个 WordPress 网站使用的一体式安全 (AIOS) WordPress 安全插件被发现会将用户登录尝试的明文密码记录到网站的数据库中,从而使帐户安全面临风险。
AIOS 是 Updraft 开发的一款一体化解决方案,为 WordPress 网站提供 Web 应用程序防火墙、内容保护和登录安全工具,承诺阻止机器人并防止暴力攻击。
大约三周前,一名用户 报告 称,AIOS v5.1.9 插件不仅将用户登录尝试记录到 aiowps_audit_log 数据库表(用于跟踪登录、注销和登录失败事件),而且还记录输入的密码。
用户表示担心此活动违反了多项安全合规标准,包括 NIST 800-63 3、ISO 27000 和 GDPR。
缺陷的初步报告 (wordpress.org)
然而,Updraft 的支持代理回应称这是一个“已知错误”,并含糊地承诺在下一个版本中提供修复程序。
在意识到问题的严重性后,支持人员在两周前向相关用户提供了即将发布的版本的开发版本。尽管如此,那些尝试安装开发版本的人还是报告了网站问题,并且密码日志没有被删除。
现已修复
最终,AIOS 供应商于 7 月 11 日发布了 5.2.0 版本,其中包括防止保存明文密码并清除旧条目的修复程序。
“AIOS 版本 5.2.0 和更新版本修复了 5.1.9 中的一个错误,该错误导致用户密码以纯文本形式添加到 WordPress 数据库中,”发布公告中写道。
“如果[恶意]站点管理员要在其他服务上尝试这些密码,而您的用户可能使用了相同的密码,这将是一个问题。”
如果暴露的人的登录详细信息不受这些其他平台上的双因素身份验证的保护,则流氓管理员可以轻松接管他们的帐户。
除了恶意管理场景之外,使用 AIOS 的网站还将面临黑客入侵的更高风险,因为获得网站数据库访问权限的不良行为者可能会以明文形式窃取用户密码。
截至撰写本文时,WordPress.org 统计数据显示,大约四分之一的 AIOS 用户已将更新应用到 5.2.0,因此超过 750,000 个网站仍然容易受到攻击。
不幸的是,由于 WordPress 成为威胁行为者的常见目标,一些使用 AIOS 的网站有可能已经受到损害,考虑到该问题已经在网上传播了三周,黑客有很多机会利用该插件的创建者反应缓慢。
此外,不幸的是,在暴露期间,Updraft 从未警告其用户暴露风险升高,并建议他们采取哪些行动。
使用 AIOS 的网站现在应该更新到最新版本并要求用户重置密码。