Плагін WordPress, встановлений на понад 1 мільйоні сайтів, зберігав паролі користувачів у відкритому доступі

Популярний плагін безпеки All-In-One Security (AIOS), призначений для понад мільйона сайтів під управлінням WordPress, декілька тижнів реєстрував паролі користувачів у відкритому вигляді і зберігав їх у базі, доступній адміністраторам сайтів. Для усунення цієї проблеми розробники випустили відповідний патч (виправлення, призначене для автоматизованого внесення певних змін в комп’ютерні файли).

AIOS фіксує паролі користувачів у процесі їхньої авторизації. За словами розробників, запис паролів до журналу у відкритому вигляді відбувався через програмну помилку, якої припустилися у коді AIOS 5.1.9, випущеному у травні цього року. Цього ж тижня розробники випустили версію AIOS 5.2.0 і запевнили — після його встановлення проблему із записом паролів буде розв’язано, а додану раніше в базу інформацію остаточно видалять.

Представник розробників AIOS підтвердив, що «для отримання будь-якої зловмисної вигоди з цього багу потрібно увійти в систему з адміністративними привілеями вищого рівня». Однак фахівці з інформаційної безпеки давно радять адміністраторам сайтів не зберігати паролі у відкритому вигляді. Це пов’язано з тим, що хакери відносно легко зламують сайти на WordPress і викрадають дані, що зберігаються у базах. У цьому контексті запис паролів у базу даних, незалежно від того, хто має до неї доступ, є суттєвим порушенням правил безпеки — вони повинні хешуватися, що дозволяє підвищити безпеку зберігання паролів.

Плагін AIOS відкрито фіксував паролі користувачів щонайменше три тижні. Разом із випуском нової версії плагіну розробники вибачилися перед користувачами за допущену помилку і рекомендували якнайшвидше оновити AIOS до версії 5.2.0.

Раніше ми розповідали про дослідників компанії Patchstack, які виявили вразливість у плагіні Advanced Custom Fields (ACF) для WordPress — це дає змогу провести XSS-атаку. Проблема дозволяє неаутентифікованому зловмиснику вкрасти конфіденційну інформацію і підвищити привілеї на сайті WordPress, обманом змусивши привілейованого користувача відвідати створену URL-адресу.