cnt
Wordpress-Sicherheits-Plug-in AIOS legte Passwörter im Klartext ab
Quelle: Depositphotos

Wordpress-Sicherheits-Plug-in AIOS legte Passwörter im Klartext ab

Das beliebte Wordpress-Plug-in All-in-One Security speicherte seit Version 5.19 die Passwörter der User unverschlüsselt beziehungsweise nicht gehasht ab. Mit Version 5.20 hat der Entwickler das Problem nun ausgeräumt.
17. Juli 2023

     

AIOS, ausgeschrieben All-in-One Security, nennt sich ein beliebtes Security-Plug-in für Wordpress, das auf über einer Million Websites installiert sein soll und diverse Login-Security, Firewall- und Content-Protection-Funktionen bietet. Mit der Sicherheit von AIOS selbst stand es ab dem Mai 2023 und bis vor Kurzem allerdings nicht zum Besten: Das Plug-in speicherte Passwörter von Nutzern ungehasht im Klartext in der Wordpress-Datenbank. Böswillige Nutzer mit Admin-Privilegien konnten so auf die Passwörter der anderen Nutzer der Website zugreifen und, falls das gleiche Passwort für mehrere Websites oder Dienste zum Einsatz kam, auch diese angreifen.
Das Problem begann mit der AIOS-Version 5.19, die am 9. Mai 2023 das Licht der Welt erblickte. Inzwischen hat der Entwickler den Fehler behoben, wie er in einem Blogpost verkündet. Die neueste Version 5.2 zeichnet die Passwörter nicht mehr im Klartext auf und löscht die zuvor im Klartext gespeicherten Passwörter automatisch. Der Entwickler nennt in seinem Blogpost überdies verschiedene Best Practices, um Websites bestmöglich zu schützen. Erstens sollten sämtliche Plug-ins immer auf aktuellem Stand gehalten werden. Zweitens sollten Passwörter regelmäßig geändert werden. Und drittens empfiehlt er die Zwei-Faktor-Authentifizierung bei Wordpress- und auch bei anderen Accounts. (ubi)


Weitere Artikel zum Thema

Wordpress bekommt KI-Unterstützung

11. Juni 2023 - Jetpack AI Assistant heisst eine KI-basierte Erweiterung für das Wordpress-CMS. AI Assistant hilft beim Erstellen von Inhalten und versteht sich auch mit Übersetzungen.

Wordpress-Plug-in gefährdet eine Million Sites

15. Mai 2023 - Im Wordpress-Plug-in Essential Addons for Elementor findet sich ein Sicherheitsleck, über das sich jedes Passwort zurücksetzen lässt, sofern der Benutzername bekannt ist. Eine aktualisierte Version steht mittlerweile zur Verfügung.

Wordpress patcht WooCommerce-Plug-in

26. März 2023 - Im Wordpress-Plug-in WooCommerce wurde ein gravierendes Sicherheitsleck entdeckt. Die Updates werden bei Wordpress.com nun automatisch eingespielt.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Aus welcher Stadt stammten die Bremer Stadtmusikanten?
GOLD SPONSOREN
SPONSOREN & PARTNER