Plugin de segurança no WordPress registava senhas sem encriptação
O All-In-One Security (AIOS) é um plugin bastante conhecido para WordPress, que se foca em melhorar a segurança das instalações do site, com funcionalidades acrescidas de segurança para o mesmo. No entanto, foi recentemente descoberta uma falha que pode ser consideravelmente grave para um plugin deste género.
O plugin é desenvolvido pela empresa Updraft, mas faz cerca de três semanas que a nova versão do AIOS v5.1.9 trazia também uma nova funcionalidade, focada em registar as senhas de login usadas para as tentativas de login na Área de Administração do site.
Mesmo tratando-se de senhas baseadas em possíveis tentativas de ataque, vários utilizadores reportaram que esta medida de guardar as senhas tentadas, e sobretudo manter as mesmas sem qualquer encriptação, poderia violar algumas das normas de segurança, incluindo do RGPD.
O suporte da Updraft, na altura, terá fornecido uma resposta vaga, indicando que se tratava de um “bug”. Mas eventualmente a empresa chegou à conclusão de que a falha poderia ser mais grave do que o inicialmente previsto, e terá lançado uma correção para o problema.
No entanto, esta “correção” não veio resolver todos os problemas reportados, uma vez que as senhas anteriormente registadas pela “funcionalidade” ainda estariam presentes na base de dados – e a simples atualização não resolvia o problema.
Esta “falha” foi agora corrigida com a versão 5.2.0 ou mais recentes, que não apenas impedem que as senhas sejam guardadas na base de dados sem encriptação, mas também limpa as anteriores para evitar que possam ser recolhidas em possíveis ataques.
Em parte, esta falha poderia ser considerada grave pois permitia aos administradores dos sites terem a capacidade de ver tanto os nomes de utilizador como as senhas testadas para login. Estas poderiam ser usadas em outras plataformas por estes administradores.
Ao mesmo tempo, os websites que usavam o plugin, poderiam ficar abertos a serem atacados e a terem esses dados igualmente roubados – e possivelmente afetando outros utilizadores em diferentes plataformas.
Os utilizadores que usem sites WordPress com o plugin AIOS são aconselhados a atualizar para a versão mais recente existente de momento.