El complemento de seguridad de WordPress All-in-One Security (AIOS) grabó silenciosamente las actividades de inicio de sesión y las contraseñas de los usuarios en texto claro. El equipo del complemento corrigió la falla después de que el asunto se revelara públicamente. Dado que el parche ya está disponible, los administradores de WordPress deben actualizar sus sitios web de inmediato para evitar posibles amenazas.
Contraseñas de texto sin formato almacenadas en el complemento AIOS WordPress
Aparentemente, el equipo de desarrolladores detrás del complemento AIOS WordPress lanzó una actualización importante que corrige una falla de seguridad grave.
Según su revisión, la vulnerabilidad en el complemento provocó que las contraseñas de los usuarios se registraran en texto sin cifrar en la base de datos de WordPress. La falla podría comprometer seriamente la seguridad de los sitios web de WordPress si los administradores reutilizaran las mismas contraseñas en cuentas de otros servicios sin autenticación de dos factores.
AIOS (All-in-One Security) es un complemento de seguridad de WordPress dedicado que protege los sitios web contra amenazas comunes de ciberseguridad. Estos incluyen protección de redacción, prevención de iFrame para limitar el robo de contenido, filtrado de comentarios no deseados y un firewall de aplicaciones web.
Si bien el complemento es extremadamente útil para los sitios web, el registro flagrante de contraseñas en texto claro aparentemente fracasó en el propósito general del complemento.
La vulnerabilidad se hizo pública después de que un usuario informara del problema a través de la sección de soporte oficial de WordPress. Como se indica en la denuncia, el complemento registró los intentos de inicio de sesión del usuario en la base de datos aiowps_audit_log, los intentos de inicio y cierre de sesión, los intentos de inicio de sesión fallidos y los datos más alarmantes, las contraseñas de los usuarios, en texto claro, violando los estándares básicos de cumplimiento de seguridad.
En respuesta, el agente de soporte aseguró al usuario de una solución próxima, incluso compartió compilaciones de desarrollo para una solución rápida. No obstante, dada la gravedad del problema, el lanzamiento tardío del parche también ha afectado a muchos usuarios. Oliver Sild, CEO de Patchstack, también destacó cómo la falla amenaza a más de un millón de sitios web en su tweet.
Tiene más de 1 millón de instalaciones activas. Hasta ahora, el desarrollador ni siquiera les ha dicho a los usuarios que cambien todas las contraseñas. Debido a la escala, veremos al 100% que los piratas informáticos recuperan las credenciales de los registros de los sitios comprometidos que ejecutan (o han ejecutado) este complemento.
—Oliver Sild (@OliverSild) 12 de julio de 2023
La vulnerabilidad afectó a la versión 5.1.9 del complemento AIOS, y el equipo luego corrigió la falla con la versión 5.2.0 ahora lanzada. Los desarrolladores también compartieron los detalles de la vulnerabilidad en la página de registro de cambios del complemento.
Dado que el parche ya está disponible, todos los administradores de WordPress deben actualizar sus sitios web a la última versión para evitar posibles amenazas.
Háganos saber sus pensamientos en los comentarios.