این افزونه وردپرس با بیش از یک میلیون نصب یک نقص امنیتی بزرگ داشت

یک افزونه محبوب برای سازنده وب‌سایت وردپرس با بیش از یک میلیون کاربر در حال ذخیره گذرواژه‌های کاربر به صورت متن ساده و در دسترس مدیران وب‌سایت‌ها برای خواندن هر زمان که بخواهند دستگیر شد.

گزارشی در Ars Technica نشان می‌دهد که افزونه مورد بحث، به نام All-In-One-Security (AIOS) روی حداقل یک میلیون وب‌سایت نصب شده است.

در اوایل این هفته، توسعه دهندگان آن نقص را تأیید کردند و گفتند که این یک اشکال در نسخه 5.1.9 این افزونه است. اکنون نسخه 5.2.0 وجود دارد و به کاربران توصیه می شود فورا افزونه خود را به روز کنند. توسعه دهندگان گفتند علاوه بر جلوگیری از ذخیره رمزهای عبور کاربر در متن ساده، این وصله همچنین داده های مشکل ساز را از پایگاه داده حذف می کند.

ادمین های سرکش

نماینده این شرکت در گفتگو با Ars Technica از طریق ایمیل، سعی کرد این نقص را کم اهمیت جلوه دهد و گفت که رمزهای عبور فقط برای مدیران موجود است. و هنگامی که یک ادمین سرکش می‌شود (یا حسابش به سرقت می‌رود/به خطر می‌افتد)، این مشکل به همان اندازه است: «به‌دست آوردن هر چیزی از این نقص مستلزم ورود به سیستم با بالاترین امتیازات اداری یا معادل آن است. یعنی می‌تواند توسط یک ادمین سرکش که می‌تواند چنین کارهایی را انجام دهد، زیرا او یک مدیر است، مورد سوء استفاده قرار گیرد.

اما هیچ کس هرگز نباید به رمز عبور کسی دسترسی داشته باشد. در پایان روز، هکرها می توانند از این رمزهای عبور در سایر پلتفرم ها و سرویس ها نیز استفاده کنند. بسیاری از کاربران در بسیاری از سرویس‌ها برای ورود به سیستم یکسانی استفاده می‌کنند، و نقض یکی ممکن است به معنای نقض بسیاری از خدمات باشد.

با این حال، توسعه دهندگان AIOS بابت این اشتباه عذرخواهی کردند و نکاتی را در مورد کارهای بعدی که مدیران باید انجام دهند ارائه کردند. این شامل به‌روزرسانی همه افزونه‌های وردپرس، فعال کردن احراز هویت چند مرحله‌ای (MFA) در صورت امکان، و تغییر منظم رمزهای عبور است.

Ars Technica یادآوری می‌کند که مورد دوم دیگر استاندارد صنعتی در نظر گرفته نمی‌شود، زیرا برخی تحقیقات نشان می‌دهند که تغییر منظم رمز عبور می‌تواند بیشتر از اینکه مفید باشد، ضرر داشته باشد.

از طریق: Ars Technica