All-In-One Security (AIOS) WordPress plugin
De plugin voor beveiliging en firewall is geïnstalleerd op meer dan een miljoen WordPress sites en wordt ingezet om cyberaanvallen zoals brute force aanvallen te voorkomen, te waarschuwen wanneer de standaard admin-gebruikersnaam wordt gebruikt om in te loggen, botaanvallen te voorkomen, gebruikersactiviteit te loggen en spam te elimineren in reactieformulieren.
Wachtwoorden in platte tekst
Onlangs werd ontdekt dat AIOS versie 5.1.9 wachtwoorden van inlogpogingen in platte tekst naar de database schrijft, waardoor elke gebruiker die toegang heeft tot de database toegang krijgt tot de inloggegevens van alle andere beheerders.
Nieuwe updates plugin AIOS
Eerder deze week heeft het Updraft-team dat de plugin onderhoudt AIOS versie 5.2.0 uitgebracht om het probleem aan te pakken en de geregistreerde wachtwoorden uit de database te verwijderen.
Gebruikers van plugins hebben echter geklaagd over sites die breken na de update en de wachtwoord logs niet verwijderen. AIOS versie 5.2.1 is woensdag uitgebracht om deze problemen aan te pakken, maar sommige gebruikers beweren dat sites nog steeds kapot zijn.
Reactie Patchstack
Volgens Oliver Sild, CEO van Patchstack, hadden de AIOS-beheerders gebruikers echter ook moeten waarschuwen voor het loggen van het wachtwoord, zodat ze hun inloggegevens konden resetten als dezelfde login combinatie op meerdere sites werden gebruikt.
Waarschuwing voor gebruikers plugin AIOS
Gebruikers van All-In-One Security (AIOS) wordt aangeraden hun WordPress installatie zo snel mogelijk bij te werken. Op basis van WordPress statistieken draaien nog steeds honderdduizenden websites een kwetsbare versie van de plugin.