All-In-One Security是一款安装在超过100万个网站上的WordPress安全插件,三周前被发现记录明文密码并将其存储在网站管理员可访问的数据库中后,随后该插件发布了安全更新。
All-In-One Security(通常缩写为AIOS)的开发者周四表示,当用户登录使用该插件的网站时,密码就会被记录下来。开发人员表示,日志记录是5月份5.1.9版本中更新的错误造成的。上周四发布的5.2.0版本已经修复了该错误,并“从数据库中删除了有问题的数据”。该数据库可供具有网站管理访问权限的人员使用。
重大安全隐患
AIOS的一位代表在一封电子邮件中写道,“要从这个缺陷中获得任何东西,都需要使用最高级别的管理权限或同等权限登录。也就是它即使可以被恶意管理员利用,但他已经是管理员,所以他本身已经可以做这样的事情了。”
然而,安全从业者长期以来一直告诫管理员不要以明文形式存储密码,因为几十年来黑客入侵网站并窃取存储在网站上的数据相对容易。在这种情况下,将明文密码写入任何类型的数据库(无论谁有权访问它)都代表着重大的安全漏洞。
存储密码超过二十年的唯一可接受的方法是使用通常被认为是缓慢算法生成的加密哈希,这意味着它需要时间和高于平均水平的计算资源才能破解。这种预防措施起到了某种保险单的作用。如果数据库被攻破,威胁参与者将需要时间和计算资源将哈希值转换为相应的明文,从而使用户有时间进行更改。当密码强度较高(即至少12个字符、随机生成且对每个站点而言都是唯一的)时,那么对于大多数威胁者来说,使用慢速算法散列破解密码通常是不可行的。
一些大型服务的登录过程通常会使用试图屏蔽明文内容的系统,甚至屏蔽网站本身的明文内容。然而,许多网站在将明文内容传递给散列算法之前短暂访问明文内容的情况仍然很常见。
密码记录漏洞至少三周前在WordPress论坛中出现,当时用户发现了该行为,并在帖子中担心这会导致组织无法通过第三方合规审计员即将进行的安全审查。同日,AIOS代表回应称:“这是上一个版本中的已知错误。”该代表提供了一个可以清除记录数据的脚本。用户报告该脚本不起作用。
AIOS提供基本合理的密码指导
上周四的公告指出:“纠正这个问题非常重要,我们对这一失误表示歉意。”它接着重申了标准建议,包括:
- 确保AIOS和您使用的任何其他插件都是最新的。这可以确保开发人员或社区发现的任何漏洞都得到修补,从而有助于确保您的网站安全。您可以在后台仪表板中查看正在使用的插件版本。在WordPress仪表板的插件页面上,您将收到任何待更新的通知。此信息也可以在WordPress仪表板更新部分中找到。
- 定期更改所有密码,尤其是当您认为您的密码已被泄露时。这将防止任何拥有您登录信息的人对您的网站造成损害或访问您的数据。
- 始终在您的帐户上启用双因素身份验证(WordPress等)。这一额外的保护层通过第二个设备(例如手机或平板电脑)验证您的登录来发挥作用。这是防止您的数据落入黑客手中的最简单、最有效的方法之一:通过双因素身份验证,被盗的密码仍然不允许攻击者登录帐户。AIOS包含一个双因素身份验证模块来保护您的WordPress网站。
FTC技术专家表示,频繁更改密码是安全的敌人
虽然大多数建议都是合理的,但定期更改密码的建议已经过时了。近年来,安全从业人员得出的结论是,如果没有理由怀疑帐户遭到泄露,则更改密码弊大于利。理由是:定期更改密码会鼓励用户选择较弱的密码。微软将这种做法描述为“古老且过时”。
使用AIOS的任何人都应尽快安装更新,并确保按说明进行日志删除。怀疑其密码被使用AIOS的网站捕获的最终用户或管理员应在该网站上更改密码,如果他们在其他网站上使用相同的密码,也应在其他网站上更改密码。