一個在 WordPress 網站建立器中廣受歡迎的插件,擁有超過一百萬個用戶,被發現存在一個嚴重的安全漏洞。該插件名為 All-In-One-Security(AIOS),根據 Ars Technica 的報導,至少有一百萬個網站安裝了這個插件。
本週早些時候,該插件的開發人員證實了這個漏洞,稱這是插件版本 5.1.9 的一個 bug。現在,已經推出了 5.2.0 版本,建議用戶立即更新插件。開發人員表示,除了停止插件以明文形式保存用戶密碼外,這個修補程序還會「從數據庫中刪除問題數據」。
該公司的代表在與 Ars Technica 的電子郵件交流中試圖淡化這個漏洞,稱這些密碼只對管理員可見。然而,當管理員變節(或者帳戶被盜用/受到破壞)時,這就成為一個嚴重問題:「利用這個缺陷需要以最高級別的管理權限或等同權限登錄,換句話說,只有已經是管理員的變節管理員才能利用這個漏洞,因為他已經是管理員了。」該電子郵件中這樣寫道。
然而,任何人都不應該擁有任何人的密碼。畢竟,黑客可以嘗試在其他平台和服務中使用這些密碼。許多用戶在多個服務中使用相同的登錄憑證,一旦入侵一個帳戶,就可能意味著入侵多個帳戶。
儘管如此,AIOS 的開發人員為這個錯誤道歉,並提供了一些建議給管理員下一步應該做的事情。這包括更新所有 WordPress 插件,如有可能,啟用多因素身份驗證(MFA),並定期更改密碼。Ars Technica 提醒,後者已不再被認為是行業標準,因為一些研究發現定期更改密碼可能會帶來更多的危害。