WordPress-Plugin auf über 1 Million registrierten Websites mit Klartext-Passwörtern installiert

Plug-in WordPress ist auf mehr als einer Million Websites installiert und registriert Passwörter im Klartext Getty Images </figure><p>All-In-One Security, ein WordPress-Sicherheits-Plugin, das auf über einer Million Websites installiert ist, hat ein Sicherheitsupdate veröffentlicht, nachdem es vor drei Wochen überrascht wurde, Klartext-Passwörter zu registrieren und diese in einer für Website-Administratoren zugänglichen Datenbank zu speichern .</p> <p>Die Passwörter wurden gespeichert, wenn sich Benutzer einer Website, die das Plugin, allgemein als AIOS abgekürzt, verwendete, anmeldeten, sagte der AIOS-Entwickler am Donnerstag. Der Entwickler sagte, die Protokollierung sei das Ergebnis eines Fehlers, der im Mai in Version 5.1.9 eingeführt wurde. Die am Donnerstag veröffentlichte Version 5.2.0 behebt den Fehler und „entfernt außerdem problematische Daten aus der Datenbank“. Die Datenbank war für Personen mit Administratorzugriff auf die Website zugänglich.</p> Eine schwerwiegende Sicherheitsverletzung <p>Ein AIOS-Vertreter schrieb in einer E-Mail: „Um diesen Fehler zu beseitigen, müssen Sie mit den höchsten Administratorrechten oder gleichwertigen Rechten angemeldet sein. Das heißt, es kann von einem unehrlichen Administrator ausgenutzt werden, der solche Dinge bereits tun kann.“ weil er ein Administrator ist.“</p> <p>Sicherheitsexperten raten Administratoren jedoch seit langem, Passwörter niemals im Klartext zu speichern, da es Hackern seit Jahrzehnten relativ leicht fällt, in Websites einzudringen und dort gespeicherte Passwörter zu übernehmen. In diesem Zusammenhang stellt das Schreiben von Klartext-Passwörtern in jede Art von Datenbank, unabhängig davon, wer Zugriff darauf hat, eine schwerwiegende Sicherheitslücke dar.</p> Die einzig akzeptable Möglichkeit, Passwörter für mehr als zwei Jahrzehnte zu speichern, besteht in einem kryptografischen Hash, der mithilfe eines sogenannten langsamen Algorithmus generiert wird, was bedeutet, dass die Entschlüsselung überdurchschnittlich viel Zeit und Rechenressourcen erfordert. Diese Vorsichtsmaßnahme fungiert als eine Art Versicherungspolice. Wenn eine Datenbank gehackt wird, benötigen Bedrohungsakteure Zeit und Rechenressourcen, um die Hashes in entsprechenden Klartext umzuwandeln, sodass Benutzer Zeit haben, sie zu ändern. Wenn Passwörter sicher sind, also mindestens 12 Zeichen lang, zufällig generiert und standortspezifisch sind, ist es für die meisten Hacker normalerweise unmöglich, sie zu knacken, wenn sie gehasht werden. mit einem langsamen Algorithmus. <p>Bei den Anmeldevorgängen einiger größerer Dienste werden häufig Systeme verwendet, die versuchen, den Klartextinhalt, sogar der Website selbst, zu schützen. Allerdings ist es bei vielen Websites immer noch üblich, kurzzeitig auf Inhalte im Klartext zuzugreifen, bevor sie an den Hashing-Algorithmus übergeben werden.</p> <p>Der Passwortprotokollierungsfehler tauchte vor mindestens drei Wochen in einem WordPress-Forum auf, als ein Benutzer das Verhalten entdeckte und in einem Beitrag Bedenken äußerte, dass die Organisation dadurch bei einer bevorstehenden Sicherheitsüberprüfung durch externe Compliance-Prüfer scheitern würde. Am selben Tag antwortete ein AIOS-Vertreter: „Dies ist ein bekannter Fehler in der neuesten Version.“ Der Vertreter stellte ein Skript zur Verfügung, das die aufgezeichneten Daten löschen sollte. Der Benutzer hat gemeldet, dass das Skript nicht funktioniert.</p> <p>Der Benutzer fragte auch, warum AIOS zu diesem Zeitpunkt keinen Fix allgemein verfügbar gemacht habe, und schrieb:</p> <p>Das ist ein RIESIGES Problem. Jeder, beispielsweise ein Auftragnehmer, hat Zugriff auf den Benutzernamen und die Passwörter aller anderen Site-Administratoren.</p> <p>Darüber hinaus haben Auftragnehmer und Website-Designer, wie unsere Penetrationstests gezeigt haben, sehr schlechte Passwortpraktiken. Unsere Vertragszugangsdaten sind die gleichen, die sie auch auf ALLEN ANDEREN KUNDENSEITEN (sowie auf Gmail und Facebook) verwenden.</p> AIOS bietet meist sichere Passworthinweise <p>In der Mitteilung vom Donnerstag hieß es: „Es war wichtig, dieses Problem zu beheben, und wir entschuldigen uns für die Diskrepanz.“ Er wiederholte weiterhin die üblichen Ratschläge, darunter:</p> Stellen Sie sicher, dass AIOS und alle anderen von Ihnen verwendeten Plugins auf dem neuesten Stand sind. Dadurch wird sichergestellt, dass alle von den Entwicklern oder der Community identifizierten Schwachstellen behoben werden, was zur Sicherheit Ihrer Website beiträgt. Welche Version des Plugins Sie verwenden, können Sie in Ihrem Dashboard sehen. Sie werden über alle ausstehenden Aktualisierungen im Plugin-Bildschirm im WordPress-Dashboard benachrichtigt. Diese Informationen sind auch im Abschnitt „Updates“ des WordPress-Dashboards verfügbar. Ein Plugin wie „Easy Updates Manager“ kann Ihnen dabei helfen, diesen Prozess zu automatisieren</h2></div> <div class=   Technologie   Jul 14, 2023   0   19  Add to Reading List

WordPress-Plugin auf über 1 Million registrierten Websites mit Klartext-Passwörtern installiert
Plug-in WordPress ist auf mehr als einer Million Websites installiert und registriert Passwörter im Klartext Getty Images </figure><p>All-In-One Security, ein WordPress-Sicherheits-Plugin, das auf über einer Million Websites installiert ist, hat ein Sicherheitsupdate veröffentlicht, nachdem es vor drei Wochen überrascht wurde, Klartext-Passwörter zu registrieren und diese in einer für Website-Administratoren zugänglichen Datenbank zu speichern .</p> <p>Die Passwörter wurden gespeichert, wenn sich Benutzer einer Website, die das Plugin, allgemein als AIOS abgekürzt, verwendete, anmeldeten, sagte der AIOS-Entwickler am Donnerstag. Der Entwickler sagte, die Protokollierung sei das Ergebnis eines Fehlers, der im Mai in Version 5.1.9 eingeführt wurde. Die am Donnerstag veröffentlichte Version 5.2.0 behebt den Fehler und „entfernt außerdem problematische Daten aus der Datenbank“. Die Datenbank war für Personen mit Administratorzugriff auf die Website zugänglich.</p> Eine schwerwiegende Sicherheitsverletzung <p>Ein AIOS-Vertreter schrieb in einer E-Mail: „Um diesen Fehler zu beseitigen, müssen Sie mit den höchsten Administratorrechten oder gleichwertigen Rechten angemeldet sein. Das heißt, es kann von einem unehrlichen Administrator ausgenutzt werden, der solche Dinge bereits tun kann.“ weil er ein Administrator ist.“</p> <p>Sicherheitsexperten raten Administratoren jedoch seit langem, Passwörter niemals im Klartext zu speichern, da es Hackern seit Jahrzehnten relativ leicht fällt, in Websites einzudringen und dort gespeicherte Passwörter zu übernehmen. In diesem Zusammenhang stellt das Schreiben von Klartext-Passwörtern in jede Art von Datenbank, unabhängig davon, wer Zugriff darauf hat, eine schwerwiegende Sicherheitslücke dar.</p> Die einzig akzeptable Möglichkeit, Passwörter für mehr als zwei Jahrzehnte zu speichern, besteht in einem kryptografischen Hash, der mithilfe eines sogenannten langsamen Algorithmus generiert wird, was bedeutet, dass die Entschlüsselung überdurchschnittlich viel Zeit und Rechenressourcen erfordert. Diese Vorsichtsmaßnahme fungiert als eine Art Versicherungspolice. Wenn eine Datenbank gehackt wird, benötigen Bedrohungsakteure Zeit und Rechenressourcen, um die Hashes in entsprechenden Klartext umzuwandeln, sodass Benutzer Zeit haben, sie zu ändern. Wenn Passwörter sicher sind, also mindestens 12 Zeichen lang, zufällig generiert und standortspezifisch sind, ist es für die meisten Hacker normalerweise unmöglich, sie zu knacken, wenn sie gehasht werden. mit einem langsamen Algorithmus. <p>Bei den Anmeldevorgängen einiger größerer Dienste werden häufig Systeme verwendet, die versuchen, den Klartextinhalt, sogar der Website selbst, zu schützen. Allerdings ist es bei vielen Websites immer noch üblich, kurzzeitig auf Inhalte im Klartext zuzugreifen, bevor sie an den Hashing-Algorithmus übergeben werden.</p> <p>Der Passwortprotokollierungsfehler tauchte vor mindestens drei Wochen in einem WordPress-Forum auf, als ein Benutzer das Verhalten entdeckte und in einem Beitrag Bedenken äußerte, dass die Organisation dadurch bei einer bevorstehenden Sicherheitsüberprüfung durch externe Compliance-Prüfer scheitern würde. Am selben Tag antwortete ein AIOS-Vertreter: „Dies ist ein bekannter Fehler in der neuesten Version.“ Der Vertreter stellte ein Skript zur Verfügung, das die aufgezeichneten Daten löschen sollte. Der Benutzer hat gemeldet, dass das Skript nicht funktioniert.</p> <p>Der Benutzer fragte auch, warum AIOS zu diesem Zeitpunkt keinen Fix allgemein verfügbar gemacht habe, und schrieb:</p> <p>Das ist ein RIESIGES Problem. Jeder, beispielsweise ein Auftragnehmer, hat Zugriff auf den Benutzernamen und die Passwörter aller anderen Site-Administratoren.</p> <p>Darüber hinaus haben Auftragnehmer und Website-Designer, wie unsere Penetrationstests gezeigt haben, sehr schlechte Passwortpraktiken. Unsere Vertragszugangsdaten sind die gleichen, die sie auch auf ALLEN ANDEREN KUNDENSEITEN (sowie auf Gmail und Facebook) verwenden.</p> AIOS bietet meist sichere Passworthinweise <p>In der Mitteilung vom Donnerstag hieß es: „Es war wichtig, dieses Problem zu beheben, und wir entschuldigen uns für die Diskrepanz.“ Er wiederholte weiterhin die üblichen Ratschläge, darunter:</p> Stellen Sie sicher, dass AIOS und alle anderen von Ihnen verwendeten Plugins auf dem neuesten Stand sind. Dadurch wird sichergestellt, dass alle von den Entwicklern oder der Community identifizierten Schwachstellen behoben werden, was zur Sicherheit Ihrer Website beiträgt. Welche Version des Plugins Sie verwenden, können Sie in Ihrem Dashboard sehen. Sie werden über alle ausstehenden Aktualisierungen im Plugin-Bildschirm im WordPress-Dashboard benachrichtigt. Diese Informationen sind auch im Abschnitt „Updates“ des WordPress-Dashboards verfügbar. Ein Plugin wie „Easy Updates Manager“ kann Ihnen dabei helfen, diesen Prozess zu automatisieren </div> <div class=

What's Your Reaction?

like

dislike

love

funny

angry

sad

wow