یک نقص امنیتی قابل توجه در افزونه وردپرس All-In-One Security (AIOS) شناسایی شده است که بیش از یک میلیون وب سایت وردپرس از آن استفاده می کنند. مشخص شد که این افزونه گذرواژههای متن ساده را از تلاشهای ورود کاربر به پایگاه داده سایت ثبت میکند و در نتیجه امنیت حساب را به خطر میاندازد.
حدود سه هفته پیش، کاربری اشاره کرد که پلاگین AIOS v5.1.9 تلاشهای کاربر برای ورود به سیستم و گذرواژههای آنها را ضبط میکند و چندین استاندارد انطباق امنیتی مانند NIST 800-63 3، ISO 27000 و GDPR را نقض میکند. Updraft، توسعهدهنده پلاگین، در ابتدا با تایید اشکال و قول رفع مشکل در نسخه بعدی پاسخ داد.
در 11 جولای، Updraft نسخه 5.2.0 AIOS را منتشر کرد که از ذخیره رمزهای عبور متن ساده جلوگیری می کند و ورودی های قدیمی را پاک می کند. با این حال، تنها حدود یک چهارم کاربران AIOS به نسخه جدید به روز رسانی کرده اند و بیش از 750000 سایت هنوز در معرض خطر هستند.
توصیه میشود وبسایتهایی که از AIOS استفاده میکنند به آخرین نسخه بهروزرسانی شوند و از کاربران بخواهند رمز عبور خود را بازنشانی کنند.
منبع: https://www.bleepingcomputer.com/news/security/wordpress-aios-plugin-used-by-1m-sites-logged-plaintext-passwords/
