Questo plugin WordPress con oltre un milione di installazioni presentava un grave difetto di sicurezza
Un popolare plugin per Costruttore di siti Web WordPress con più di un milione di utenti è stato sorpreso a memorizzare le password degli utenti in testo normale, a disposizione degli amministratori dei siti Web per leggerle ogni volta che lo desideravano.
Un rapporto di Ars Technica ha rilevato che il plugin in questione, chiamato All-In-One-Security (AIOS), era installato su almeno un milione di siti web.
All’inizio di questa settimana, i suoi sviluppatori hanno confermato il difetto, affermando che si trattava di un bug nella versione 5.1.9 del plugin. Ora esiste la versione 5.2.0 e si consiglia agli utenti di aggiornare immediatamente il proprio plug-in. Oltre a impedire al plugin di salvare le password degli utenti in testo normale, la patch “elimina anche i dati problematici dal database”, hanno affermato gli sviluppatori.
Amministratori canaglia
Parlando ad Ars Technica via email, un rappresentante dell’azienda ha cercato di sminuire la falla, affermando che Le password erano disponibili solo per gli amministratori. E quando un amministratore si comporta in modo ribelle (o viene rubato/compromesso il suo account), il problema è davvero grosso: “per ottenere qualcosa da questo difetto è necessario effettuare l’accesso con i privilegi amministrativi di livello più alto, o equivalenti. cioè può essere sfruttato da un amministratore disonesto che può già fare queste cose perché è un amministratore”, si legge nell’e-mail.
Ma nessuno dovrebbe mai avere accesso alla password di nessuno. In fin dei conti, gli hacker possono provare a utilizzare queste password anche su altre piattaforme e servizi. Molti utenti utilizzano le stesse credenziali di accesso per numerosi servizi e violarne uno potrebbe significarne violarne molti.
Tuttavia, gli sviluppatori di AIOS si sono scusati per l’errore e hanno fornito alcuni suggerimenti su cosa dovrebbero fare gli amministratori in seguito. Ciò include l’aggiornamento di tutti i plugin di WordPress, l’abilitazione dell’autenticazione a più fattori (MFA) se possibile e la modifica regolare delle password.
Quest’ultimo, ricorda Ars Technica, non è più considerato uno standard del settore, poiché alcune ricerche hanno stabilito che la modifica regolare della password può causare più danni che benefici.
Attraverso: Ars Tecnica