AIOS, ausgeschrieben All-in-One Security, nennt sich
ein beliebtes Security-Plug-in für
Wordpress, das auf über einer Million Websites installiert sein soll und diverse Login-Security, Firewall- und Content-Protection-Funktionen bietet. Mit der Sicherheit von AIOS selbst stand es ab dem Mai 2023 und bis vor Kurzem allerdings nicht zum Besten: Das Plug-in speicherte Passwörter von Nutzern ungehasht im Klartext in der Wordpress-Datenbank. Böswillige Nutzer mit Admin-Privilegien konnten so auf die Passwörter der anderen Nutzer der Website zugreifen und, falls das gleiche Passwort für mehrere Websites oder Dienste zum Einsatz kam, auch diese angreifen.
Das Problem begann mit der AIOS-Version 5.19, die am 9. Mai 2023 das Licht der Welt erblickte. Inzwischen hat der Entwickler den Fehler behoben, wie er
in einem Blogpost verkündet. Die neueste Version 5.2 zeichnet die Passwörter nicht mehr im Klartext auf und löscht die zuvor im Klartext gespeicherten Passwörter automatisch. Der Entwickler nennt in seinem Blogpost überdies verschiedene Best Practices, um Websites bestmöglich zu schützen. Erstens sollten sämtliche Plug-ins immer auf aktuellem Stand gehalten werden. Zweitens sollten Passwörter regelmäßig geändert werden. Und drittens empfiehlt er die Zwei-Faktor-Authentifizierung bei Wordpress- und auch bei anderen Accounts.
(ubi)
