Plugin WordPress installato su oltre 1 milione di siti con password in testo semplice registrate – Ars Technica
All-In-One Security, un plugin di sicurezza per WordPress installato su più di 1 milione di siti web, ha rilasciato un aggiornamento di sicurezza dopo essere stato sorpreso tre settimane fa a registrare password in chiaro e a memorizzarle in un database accessibile agli amministratori dei siti web.
Le password venivano registrate quando gli utenti di un sito che utilizzava il plug-in, generalmente abbreviato in AIOS, effettuavano l’accesso, lo sviluppatore di AIOS . Lo sviluppatore ha affermato che il logging era il risultato di un bug introdotto a maggio nella versione 5.1.9. La versione 5.2.0 rilasciata giovedì risolve il bug e inoltre “elimina i dati problematici dal database”. Il database era disponibile per le persone con accesso amministrativo al sito web.
Una grave violazione della sicurezza
Un rappresentante di AIOS ha scritto in una e-mail che “per ottenere qualcosa da questo difetto è necessario accedere con i privilegi amministrativi di livello più alto, o equivalenti. cioè può essere sfruttato da un amministratore disonesto che può già fare queste cose perché è un amministratore.”
Tuttavia, i professionisti della sicurezza ammoniscono da tempo gli amministratori di non archiviare mai le password in chiaro, data la relativa facilità con cui gli hacker hanno avuto per decenni di violare i siti Web e di sottrarsi ai dati in essi archiviati. In tale contesto, la scrittura di password in chiaro su qualsiasi tipo di database, indipendentemente da chi vi abbia accesso, rappresenta una grave violazione della sicurezza.
L’unico modo accettabile per archiviare le password per più di due decenni è come un hash crittografico generato utilizzando quello che viene spesso definito come un algoritmo lentoil che significa che per essere violato richiede tempo e risorse di calcolo superiori alla media. Questa precauzione funge da sorta di polizza assicurativa. Se un database viene violato, gli autori delle minacce richiederanno tempo e risorse informatiche per convertire gli hash nel testo in chiaro corrispondente, dando agli utenti il tempo di modificarli. Quando le password sono complesse, ovvero composte da almeno 12 caratteri, generate casualmente e uniche per ciascun sito, è generalmente impossibile per la maggior parte degli autori delle minacce violarle se sottoposte ad hashing con un algoritmo lento.
I processi di accesso da alcuni servizi più grandi spesso utilizzano sistemi che tentano di proteggere i contenuti in chiaro, anche dal sito stesso. Tuttavia, rimane ancora comune che molti siti abbiano brevemente accesso ai contenuti in chiaro prima di passarli all’algoritmo di hashing.
Il bug di registrazione della password almeno tre settimane fa in un forum WordPress, quando un utente ha scoperto il comportamento e si è preoccupato in un post che avrebbe portato l’organizzazione a fallire un’imminente revisione della sicurezza da parte di revisori della conformità di terze parti. Lo stesso giorno, un rappresentante AIOS ha risposto: “Questo è un bug noto nell’ultima versione”. Il rappresentante ha fornito uno script che avrebbe dovuto cancellare i dati registrati. L’utente ha segnalato che lo script non ha funzionato.
L’utente ha anche chiesto perché AIOS non stesse rendendo disponibile una correzione generalmente disponibile in quel momento, scrivendo:
Questo è un ENORME problema. Chiunque, come un appaltatore, ha accesso al nome utente e alle password di tutti gli altri amministratori del sito.
Inoltre, come documentato dal nostro pentesting, gli appaltatori e i progettisti del sito hanno pratiche di password molto scadenti. Le credenziali del nostro contratto sono le stesse che utilizzano su TUTTI GLI ALTRI SITI CLIENTI (e su Gmail e Facebook).
AIOS offre per lo più una valida guida per la password
L’avviso di giovedì affermava: “Era importante risolvere questo problema e ci scusiamo per l’errore”, e continuava ribadendo i consigli standard, tra cui:
- Assicurati che AIOS e tutti gli altri plugin che utilizzi siano aggiornati. Ciò garantisce che qualsiasi vulnerabilità identificata dagli sviluppatori o dalla comunità venga corretta, contribuendo a mantenere il tuo sito sicuro. Puoi vedere quale versione del plugin stai utilizzando nella dashboard. Riceverai una notifica di eventuali aggiornamenti in sospeso nella schermata del plugin sulla dashboard di WordPress. Queste informazioni sono disponibili anche nella sezione degli aggiornamenti della dashboard di WordPress.
- Cambia regolarmente tutte le password, soprattutto se ritieni che la tua password sia stata compromessa. Ciò impedirà a chiunque abbia le tue informazioni di accesso di causare danni al tuo sito o di accedere ai tuoi dati.
- Abilita sempre l’autenticazione a due fattori sui tuoi account (WordPress e altro). Questo ulteriore livello di protezione funziona verificando il tuo accesso tramite un secondo dispositivo come il tuo telefono cellulare o tablet. È uno dei modi più semplici ed efficaci per tenere i tuoi dati fuori dalle mani degli hacker: con l’autenticazione a due fattori, una password rubata non consente ancora a un utente malintenzionato di accedere a un account. AIOS include un modulo di autenticazione a due fattori per proteggere i tuoi siti WordPress.
Sebbene la maggior parte dei consigli sia valida, la raccomandazione di modificare regolarmente le password è obsoleta. Negli ultimi anni, i professionisti della sicurezza hanno concluso che è possibile modificare la password più danno che bene quando non c’è motivo di sospettare una compromissione dell’account. Il ragionamento: i cambiamenti regolari delle password incoraggiano gli utenti a scegliere password più deboli. Microsoft ha caratterizzato la pratica come “antico e obsoleto.”
Chiunque utilizzi AIOS dovrebbe installare l’aggiornamento non appena possibile e assicurarsi che l’eliminazione del registro funzioni come descritto. Gli utenti finali o gli amministratori che sospettano che la loro password sia stata acquisita da un sito Web che utilizza AIOS dovrebbero modificarla su quel sito e, nel caso in cui utilizzino la stessa password su altri siti, anche su tali altri siti.