Complemento de WordPress instalado en más de 1 millón de sitios registrados con contraseñas de texto sin formato

Complemento WordPress instalado en más de un millón de sitios registró contraseñas en claroExpandir imágenes falsas

All-In-One Security, un complemento de seguridad de WordPress instalado en más de un millón de sitios web, lanzó una actualización de seguridad luego de ser sorprendido hace tres semanas al registrar contraseñas de texto sin formato y almacenarlas en una base de datos accesible para los administradores del sitio web. .

Las contraseñas se guardaban cuando los usuarios de un sitio que usaban el complemento, comúnmente abreviado como AIOS, iniciaban sesión, dijo el jueves el desarrollador de AIOS. El desarrollador dijo que el registro fue el resultado de un error introducido en mayo en la versión 5.1.9. La versión 5.2.0 lanzada el jueves corrige el error y "también elimina los datos problemáticos de la base de datos". La base de datos era accesible para personas con acceso administrativo al sitio web.

Una brecha de seguridad importante

Un representante de AIOS escribió en un correo electrónico que "para obtener algo de esta falla, debe iniciar sesión con los privilegios administrativos más altos o equivalentes. Es decir, diga que puede ser explotado por un administrador deshonesto que ya puede hacer tales cosas porque es un administrador.”

Sin embargo, los profesionales de la seguridad han aconsejado durante mucho tiempo a los administradores que nunca almacenen las contraseñas en texto claro, dada la relativa facilidad que los piratas informáticos han tenido durante décadas para violar sitios web y apoderarse de las contraseñas y los datos almacenados allí. En este contexto, escribir contraseñas de texto sin formato en cualquier tipo de base de datos, independientemente de quién tenga acceso a ella, es una brecha de seguridad importante.

La única forma aceptable de almacenar contraseñas durante más de dos décadas es en un hash criptográfico generado utilizando lo que a menudo se denomina algoritmo lento, lo que significa que se necesita tiempo y recursos informáticos mayores que el promedio para descifrarse. Esta precaución actúa como una especie de póliza de seguro. Si se piratea una base de datos, los actores de amenazas necesitarán tiempo y recursos informáticos para convertir los hash en el texto sin formato correspondiente, dando tiempo a los usuarios para modificarlos. Cuando las contraseñas son seguras, lo que significa que tienen al menos 12 caracteres, se generan aleatoriamente y son específicas del sitio, por lo general, a la mayoría de los piratas informáticos les resulta imposible descifrarlas cuando se codifican con un algoritmo lento.

Los procesos de inicio de sesión de algunos servicios más grandes suelen utilizar sistemas que intentan proteger el contenido de texto sin formato, incluso del propio sitio. Sin embargo, todavía es común que muchos sitios accedan brevemente al contenido sin cifrar antes de pasarlo al algoritmo hash.

El error de registro de contraseñas apareció hace al menos tres semanas en un foro de WordPress cuando un usuario descubrió el comportamiento y expresó su preocupación en una publicación de que haría que la organización fallara en una próxima revisión de seguridad por parte de auditores de cumplimiento externos. El mismo día, un representante de AIOS respondió: "Este es un error conocido en la última versión". El representante proporcionó un guión que se suponía que borraría los datos grabados. El script informado por el usuario no funciona.

El usuario también preguntó por qué AIOS no hizo una solución disponible de forma general en este momento, y escribió:

Este es un GRAN problema. Cualquiera, como un contratista, tiene acceso al nombre de usuario y las contraseñas de todos los demás administradores del sitio.

Además, como han documentado nuestras pruebas de penetración, los contratistas y diseñadores de sitios tienen prácticas de contraseña muy deficientes. Nuestras credenciales de contrato son las mismas que usan en TODOS SUS OTROS SITIOS DE CLIENTES (y sus Gmail y Facebook).

AIOS ofrece principalmente sugerencias de contraseñas seguras

El aviso del jueves decía: "Era importante corregir este problema y nos disculpamos por la discrepancia". Continuó reiterando los consejos estándar, que incluyen:

Asegúrese de que AIOS y cualquier otro complemento que use estén actualizados. Esto garantiza que se corrijan las vulnerabilidades identificadas por los desarrolladores o la comunidad, lo que ayuda a mantener su sitio seguro. Puede ver qué versión del complemento está utilizando en su tablero. Se le notificará de cualquier actualización pendiente en la pantalla del complemento en el tablero de WordPress. Esta información también está disponible en la sección de actualizaciones del panel de control de WordPress. Un complemento como "Easy Updates Manager" puede ayudarlo a automatizar este proceso

  Tecnología   Jul 13, 2023   0   20  Add to Reading List
Complemento de WordPress instalado en más de 1 millón de sitios registrados con contraseñas de texto sin formato
Complemento WordPress instalado en más de un millón de sitios registró contraseñas en claroExpandir imágenes falsas

All-In-One Security, un complemento de seguridad de WordPress instalado en más de un millón de sitios web, lanzó una actualización de seguridad luego de ser sorprendido hace tres semanas al registrar contraseñas de texto sin formato y almacenarlas en una base de datos accesible para los administradores del sitio web. .

Las contraseñas se guardaban cuando los usuarios de un sitio que usaban el complemento, comúnmente abreviado como AIOS, iniciaban sesión, dijo el jueves el desarrollador de AIOS. El desarrollador dijo que el registro fue el resultado de un error introducido en mayo en la versión 5.1.9. La versión 5.2.0 lanzada el jueves corrige el error y "también elimina los datos problemáticos de la base de datos". La base de datos era accesible para personas con acceso administrativo al sitio web.

Una brecha de seguridad importante

Un representante de AIOS escribió en un correo electrónico que "para obtener algo de esta falla, debe iniciar sesión con los privilegios administrativos más altos o equivalentes. Es decir, diga que puede ser explotado por un administrador deshonesto que ya puede hacer tales cosas porque es un administrador.”

Sin embargo, los profesionales de la seguridad han aconsejado durante mucho tiempo a los administradores que nunca almacenen las contraseñas en texto claro, dada la relativa facilidad que los piratas informáticos han tenido durante décadas para violar sitios web y apoderarse de las contraseñas y los datos almacenados allí. En este contexto, escribir contraseñas de texto sin formato en cualquier tipo de base de datos, independientemente de quién tenga acceso a ella, es una brecha de seguridad importante.

La única forma aceptable de almacenar contraseñas durante más de dos décadas es en un hash criptográfico generado utilizando lo que a menudo se denomina algoritmo lento, lo que significa que se necesita tiempo y recursos informáticos mayores que el promedio para descifrarse. Esta precaución actúa como una especie de póliza de seguro. Si se piratea una base de datos, los actores de amenazas necesitarán tiempo y recursos informáticos para convertir los hash en el texto sin formato correspondiente, dando tiempo a los usuarios para modificarlos. Cuando las contraseñas son seguras, lo que significa que tienen al menos 12 caracteres, se generan aleatoriamente y son específicas del sitio, por lo general, a la mayoría de los piratas informáticos les resulta imposible descifrarlas cuando se codifican con un algoritmo lento.

Los procesos de inicio de sesión de algunos servicios más grandes suelen utilizar sistemas que intentan proteger el contenido de texto sin formato, incluso del propio sitio. Sin embargo, todavía es común que muchos sitios accedan brevemente al contenido sin cifrar antes de pasarlo al algoritmo hash.

El error de registro de contraseñas apareció hace al menos tres semanas en un foro de WordPress cuando un usuario descubrió el comportamiento y expresó su preocupación en una publicación de que haría que la organización fallara en una próxima revisión de seguridad por parte de auditores de cumplimiento externos. El mismo día, un representante de AIOS respondió: "Este es un error conocido en la última versión". El representante proporcionó un guión que se suponía que borraría los datos grabados. El script informado por el usuario no funciona.

El usuario también preguntó por qué AIOS no hizo una solución disponible de forma general en este momento, y escribió:

Este es un GRAN problema. Cualquiera, como un contratista, tiene acceso al nombre de usuario y las contraseñas de todos los demás administradores del sitio.

Además, como han documentado nuestras pruebas de penetración, los contratistas y diseñadores de sitios tienen prácticas de contraseña muy deficientes. Nuestras credenciales de contrato son las mismas que usan en TODOS SUS OTROS SITIOS DE CLIENTES (y sus Gmail y Facebook).

AIOS ofrece principalmente sugerencias de contraseñas seguras

El aviso del jueves decía: "Era importante corregir este problema y nos disculpamos por la discrepancia". Continuó reiterando los consejos estándar, que incluyen:

Asegúrese de que AIOS y cualquier otro complemento que use estén actualizados. Esto garantiza que se corrijan las vulnerabilidades identificadas por los desarrolladores o la comunidad, lo que ayuda a mantener su sitio seguro. Puede ver qué versión del complemento está utilizando en su tablero. Se le notificará de cualquier actualización pendiente en la pantalla del complemento en el tablero de WordPress. Esta información también está disponible en la sección de actualizaciones del panel de control de WordPress. Un complemento como "Easy Updates Manager" puede ayudarlo a automatizar este proceso

What's Your Reaction?

like

dislike

love

funny

angry

sad

wow