没想到吧?这年头还有使用纯文本记录使用者密码的,AIOS 是 Wordpress 渠道的一款一体式可靠插件,该插件被超过 100 万个站点部署并使用。
AIOS 提供 Web 防火墙、信息保护和可靠登陆特性,关于爱情,我想说:朋友圈文案还可以提供防止机器人恶意爆破,折叠屏解读为此该插件会记录各类登陆记录以提供登陆、注销、登陆失利事情确认。
大约三周前有使用者察觉 AIOS 5.1.9 版将所有使用者的登陆事情记录到 aiowps_audit_log 资料表中,并且还记录了使用者的密码。这种行为实际是违反了某些条例的,比如欧盟的详细PlayStation对比 GDPR。
然后 AIOS 开发商称这是一个已知 BUG,将在下个版次修复,接着亮相的这个新开发版不只没有删除已然记录的资料,并且还使用明文记录了所有登陆密码。盘点算力芯片Tips
到上周 AIOS 又发了个新版次并强调 5.2.0 版已然解决了难题,含有失误地使用纯文本记录了使用者密码,这些密码会被直接以纯文本记录到 Wordpress 资料表中。
值得注意的是当下依然有超过 75 万个站点在使用 AIOS 旧版次,使用这些旧版次的站点依然很轻松遭到攻击,而 AIOS 开发商 Updraft 似乎也想淡化此次事情,所以都没有亮相提醒提议治理员马上升级插件。
所以如今的局面就是还未升级的站点或许会在某个时候被黑然后研究资料然后再引发一波留意,一时三刻估计解决不了这么多站点还不升级插件。
还有个挑选是 Wordpress 权威挑选强制升级,通常这是 Wordpress 不愿意做的事情,但假如的确有严重可靠难题需要解决时,他们才会开展强制升级。如今 AIOS 的难题只是记录了纯文本密码,但未发生资料研究难题,所以还不算是严重的可靠难题。