一個名為 All-in-One Security(AIOS)的 WordPress 資安防護外掛程式,近日遭到用戶發現,其運作方式以明文方式來儲存用戶輸入的密碼,而未經加密儲存;這可能導致使用者的資安曝於風險之下。
All-in-One Security(AIOS)是由軟體開發廠商 Updraft 開發的 WordPress 網站專用資安防護外掛程式,可以提供 web application 的防火牆、內容防護、登入安全等額外的資安防護功能,以防殭屍網路機器人或暴力試誤法的攻擊。
約在三個多星期前,有位 All-in-One Security(AIOS)的使用者在 WordPress.org 的支援討論區中發文指出,他發現 All-in-One Security(AIOS)v5.19 不只會把使用者的登入記錄寫入到 aiowps_audit_log 這個用來記錄用戶登入、登出、登入失敗等事件的資料表中,更會以明文方式記錄用戶輸入的密碼。
該用戶在發文中也強調,這種做法已經明顯違反 NIST 800-63 3、ISO 27000、GDPR 等資安規範或法規。
All-in-One Security(AIOS)的開發廠商 Updraft 在看到相關貼文後,先是以該問題是一個已知的錯誤(a known bug)來回應,但並未立即承諾具體的修正時間和做法;雖然 Updraft 隨即提供開發中版本供使用者下載,但使用者回報指出新的開發版並未解決問題,也沒有刪除記錄在資料表中的密碼。
不過 Updraft 在 7 月 11 日時提供了新版的 All-in-One Security(AIOS)v5.2.0,自此版本起不再以明文儲存用戶輸入的密碼,同時會自資料表中刪除先前儲存的密碼。
建議 All-in-One Security(AIOS)的用戶應立即將該外掛程式升級至 V5.2.0 版。
- 參考連結
Cleartext passwords written to aiowps_audit_log
https://wordpress.org/support/topic/cleartext-passwords-written-to-aiowps_audit_log/
All-In-One Security (AIOS) WordPress Security Plugin Release 5.2.0
https://aiosplugin.com/all-in-one-security-aios-wordpress-security-plugin-release-5-2-0/
留言列表
資安宣導 (2)
