De WordPress security plugin All-In-One Security (AIOS) doet juist wat het niet moet doen. Vanwege een bug verzamelde de tool wachtwoorden en sloeg ze als platte tekst op in een database.
AIOS voor WordPress is op meer dan 1 miljoen websites geïnstalleerd en zorgt voor security voor WordPress-websites. Na een update in mei dit jaar bleek de tool juist te doen, wat het niet moest doen: de security van WordPress-websites in gevaar brengen.
Een bug in de versie 5.1.9-update zorgde ervoor dat de wachtwoorden van gebruikers ven een website die met de plug-in was uitgerust onverhoopt als platte tekst in een database werden opgeslagen. Website-beheerders voor deze sites kregen toegang tot deze database met de wachtwoorden.
Beheerders die over de hoogste privilege- en beheerrechten beschikken, kunnen op die manier makkelijk deze wachtwoorden misbruiken voor andere (kwaadaardige) doeleinden.
Bug drie weken bekend
De bug in de 5.1.9-release van AIOS kwam drie weken geleden aan het licht. Op een WordPress-forum maakte een gebruiker de bug kenbaar en was bang dat deze voor hem nadelig zou zijn in een security review door compliance auditors.
AIOS maakte bekend dat de bug bekend was en leverde een script om de gelogde data te verwijderen. De gebruiker antwoordde dat het script helaas niet werkte.
Inmiddels heeft AIOS de bug gerepareerd en een nieuwe versie 5.2.0 gepresenteerd. De ontwikkelaar roept gebruikers op deze laatste versie te installeren. Ook moeten zij regelmatig hun wachtwoorden veranderen en 2FA-authenticatie op hun accounts en WordPress-websites toepassen.
Lees ook: Hackers misbruiken zeroday in WordPress-plugin Ultimate Member
2 dagen geleden
