تم تثبيت مكون WordPress الإضافي على أكثر من مليون موقع وكلمات مرور للنص العادي

أصدر All-In-One Security ، وهو مكون إضافي للأمان في WordPress مثبت على أكثر من مليون موقع ويب ، تحديثًا أمنيًا بعد أن تم اكتشافه قبل ثلاثة أسابيع وهو يسجل كلمات مرور نص عادي ويخزنها في قاعدة بيانات يمكن لمسؤولي مواقع الويب الوصول إليها.

قال مطور AIOS يوم الخميس ، إنه تم تسجيل كلمات المرور عندما قام مستخدمو موقع يستخدم المكون الإضافي ، والذي يُختصر عادةً باسم AIOS ، بتسجيل الدخول. قال المطور إن التسجيل كان نتيجة خطأ تم تقديمه في مايو في الإصدار 5.1.9. الإصدار 5.2.0 الذي تم إصداره يوم الخميس يصلح الخطأ وأيضًا “يحذف البيانات التي بها مشكلات من قاعدة البيانات”. كانت قاعدة البيانات متاحة للأشخاص الذين لديهم وصول إداري إلى الموقع.

انتهاك امني كبير

كتب ممثل AIOS في رسالة بريد إلكتروني أن “الحصول على أي شيء من هذا العيب يتطلب تسجيل الدخول بأعلى مستوى من الامتيازات الإدارية ، أو ما يعادلها. على سبيل المثال ، يمكن استغلالها من قبل مسؤول مارق يمكنه بالفعل القيام بمثل هذه الأشياء لأنه مشرف “.

ومع ذلك ، لطالما نصح ممارسو الأمن المشرفين بعدم تخزين كلمات المرور مطلقًا في نص عادي ، نظرًا للسهولة النسبية التي يتمتع بها المتسللون لعقود من الزمن في اختراق مواقع الويب والاستيلاء على البيانات المخزنة عليها. في هذا السياق ، فإن كتابة كلمات مرور ذات نص عادي لأي نوع من قواعد البيانات – بغض النظر عمن لديه حق الوصول إليها – يمثل انتهاكًا أمنيًا كبيرًا.

الطريقة الوحيدة المقبولة لتخزين كلمات المرور لأكثر من عقدين هي تجزئة التشفير التي يتم إنشاؤها باستخدام ما يوصف غالبًا بأنه خوارزمية بطيئة ، مما يعني أنه يتطلب وقتًا وموارد حوسبة أعلى من المتوسط ​​ليتم اختراقها. هذا الاحتياط بمثابة بوليصة تأمين من نوع ما. في حالة اختراق قاعدة البيانات ، سيحتاج ممثلو التهديد إلى موارد الوقت والحوسبة لتحويل التجزئة إلى نص عادي مطابق ، مما يمنح المستخدمين الوقت لتغييرها. عندما تكون كلمات المرور قوية – بمعنى ما لا يقل عن 12 حرفًا ، يتم إنشاؤها عشوائيًا وفريدة من نوعها لكل موقع – فمن غير المجدي عمومًا لمعظم الجهات الفاعلة في التهديد كسرها عند تجزئتها باستخدام خوارزمية بطيئة.

غالبًا ما تستخدم عمليات تسجيل الدخول من بعض الخدمات الكبيرة أنظمة تحاول حماية محتويات النص العادي حتى من الموقع نفسه. ومع ذلك ، لا يزال من الشائع بالنسبة للعديد من المواقع الوصول لفترة وجيزة إلى محتويات النص العادي قبل تمريرها إلى خوارزمية التجزئة.

ظهر خطأ تسجيل كلمة المرور منذ ثلاثة أسابيع على الأقل في منتدى WordPress ، عندما اكتشف المستخدم السلوك وقلق في إحدى المشاركات ، فقد يؤدي ذلك إلى فشل المؤسسة في مراجعة أمنية قادمة من قبل مدققي الامتثال التابعين لجهات خارجية. في نفس اليوم ، رد ممثل AIOS ، “هذا خطأ معروف في الإصدار الأخير.” ذهب الممثل إلى تقديم برنامج نصي كان من المفترض أن يمسح البيانات المسجلة. أبلغ المستخدم أن البرنامج النصي لا يعمل.

سأل المستخدم أيضًا عن سبب عدم قيام AIOS بإجراء إصلاح متاح بشكل عام في ذلك الوقت ، فكتب:

هذا هو مشكلة كبيرة. أي شخص ، مثل المقاول ، لديه حق الوصول إلى اسم المستخدم وكلمات المرور لجميع مسؤولي الموقع الآخرين.

علاوة على ذلك ، كما تم توثيق اختبار pentesting الخاص بنا ، فإن المقاول ومصممي المواقع لديهم ممارسات كلمة مرور سيئة للغاية. بيانات اعتماد عقدنا هي نفسها التي يستخدمونها في جميع مواقع عملائهم الأخرى (و Gmail و Facebook).

تقدم AIOS في الغالب إرشادات كلمة مرور سليمة

نص تحذير يوم الخميس: “كان من المهم تصحيح هذه المشكلة ونحن نعتذر عن السقوط” ، ومضت لتكرار النصائح القياسية ، بما في ذلك:

• تأكد من تحديث AIOS وأي مكونات إضافية أخرى تستخدمها. يضمن هذا تصحيح أي ثغرات تم تحديدها بواسطة المطورين أو المجتمع ، مما يساعد في الحفاظ على أمان موقعك. يمكنك معرفة إصدار المكون الإضافي الذي تستخدمه داخل لوحة التحكم. سيتم إخطارك بأي تحديثات معلقة داخل شاشة البرنامج المساعد على لوحة معلومات WordPress. تتوفر هذه المعلومات أيضًا في قسم تحديثات لوحة معلومات WordPress. يمكن أن يساعدك أحد المكونات الإضافية مثل “Easy Updates Manager” في أتمتة هذه العملية

• قم بتغيير كل كلمات المرور بانتظام ، خاصة إذا كنت تعتقد أن كلمة المرور الخاصة بك قد تم اختراقها. سيؤدي هذا إلى منع أي شخص لديه معلومات تسجيل الدخول الخاصة بك من التسبب في تلف موقعك أو الوصول إلى بياناتك.

• قم دائمًا بتمكين المصادقة الثنائية على حساباتك (WordPress وغير ذلك). تعمل طبقة الحماية الإضافية هذه عن طريق التحقق من تسجيل الدخول الخاص بك من خلال جهاز ثانٍ مثل هاتفك المحمول أو جهازك اللوحي. إنها واحدة من أبسط الطرق وأكثرها فعالية لإبقاء بياناتك بعيدًا عن أيدي المتسللين: باستخدام المصادقة ذات العاملين ، لا تزال كلمة المرور المسروقة لا تسمح للمهاجم بتسجيل الدخول إلى حساب. يتضمن AIOS وحدة مصادقة ثنائية لحماية مواقع WordPress الخاصة بك.

في حين أن معظم النصائح سليمة ، فإن التوصية بتغيير كلمات المرور بانتظام أصبحت قديمة. في السنوات الأخيرة ، خلص ممارسو الأمن إلى أن تغيير كلمة المرور يمكن أن يضر أكثر مما ينفع عندما لا يكون هناك سبب للشك في اختراق الحساب. السبب: تشجع التغييرات المنتظمة لكلمات المرور المستخدمين على اختيار كلمات مرور أضعف. وصفت مايكروسوفت هذه الممارسة بأنها “قديمة وعفا عليها الزمن”.

يجب على أي شخص يستخدم AIOS تثبيت التحديث في أقرب وقت ممكن عمليًا والتأكد من أن حذف السجل يعمل كما هو موضح. يجب على المستخدمين النهائيين أو المسؤولين الذين يشتبهون في أن كلمة المرور الخاصة بهم قد تم التقاطها بواسطة موقع ويب يستخدم AIOS ، يجب عليهم تغييرها على هذا الموقع ، وفي حالة استخدامهم لنفس كلمة المرور على مواقع أخرى ، فإن تلك المواقع الأخرى أيضًا.