Популярный плагин для WordPress хранил пароли пользователей в открытом виде

Отчет от Ars Technica уточняет, что речь идет о плагине под названием All-In-One-Security (AIOS), который был установлен на не менее чем миллионах веб-сайтов. Разработчики подтвердили проблему и назвали это ошибкой в версии плагина 5.1.9. Теперь есть версия 5.2.0, и пользователям рекомендуется незамедлительно обновить свой плагин.

Помимо прекращения сохранения паролей пользователей в открытом виде, патч также "удаляет проблемные данные из базы данных", сообщили разработчики. Но факт, что администраторы имели доступ к паролям пользователей, вызывает серьезные опасения. Если администратор становится злоумышленником или его учетная запись взламывается/компрометируется, это может иметь серьезные последствия. Именно поэтому никто не должен иметь доступ к чьим-либо паролям. Кроме того, хакеры могут использовать эти пароли на других платформах и сервисах. Многие пользователи используют одни и те же учетные данные для множества сервисов, и взлом одного может означать взлом многих.

Разработчики AIOS извинились за ошибку и дали несколько советов администраторам о том, что следует делать дальше. Это включает обновление всех плагинов WordPress, включение многофакторной аутентификации (MFA), если это возможно, и регулярную смену паролей. Тем не менее, Ars Technica напоминает, что регулярная смена паролей больше не считается отраслевым стандартом, так как некоторые исследования показали, что это может причинить больше вреда, чем пользы.