Bleeping Computer 网站披露,超过百万 WordPress 网站使用的 all-In-One security(AIOS)WordPress安全插件被曝将用户尝试登录的明文密码记录到网站数据库中,此举可能危及账户安全。
AIOS 是 Updraft 开发的一体式解决方案,主要为 WordPress 网站提供网络应用程序防火墙、内容保护和登录安全工具,以阻止机器人并防止暴力攻击。
大约在三周前,一位用户反应 AIOS v5.1.9 插件不仅将用户尝试登录记录到 aiowps_audit_log 数据库表中,用于跟踪登录、注销和失败的登录事件,还记录了用了输入的密码。该用户担心此举违反了包括NIST 800-63 3、ISO 27000和GDPR在内的多项安全合规标准,
漏洞的初步报告(wordpress.org)
接到反馈后,Updraft 方面回应称该问题是一个 “已知错误”,并含糊地承诺将在下一个版修复问题。在意识到问题的严重性后,Updraft 支持人员两周前向相关用户提供了即将发布的开发版,但是试图安装开发版的用户仍指出密码日志没有被删除。
7 月 11 日,AIOS 供应商发布了 5.2.0 版本,其中包括一个防止保存明文密码并清除旧条目的修复程序。AIOS 供应商在公告中一再强调 AIOS 发布的 5.2.0 版本更新版本修复了 5.1.9 版本中存在的一个错误,该错误导致用户密码以明文形式添加到 WordPress 数据库中。
一旦“恶意”网站管理员在用户可能使用相同密码的其他服务上尝试利用这些密码,此举会带来一些安全问题。此外,一旦被暴露者的登录信息在这些平台上没有受到双因素身份验证的保护,“恶意”管理员就可以轻易接管用户的账户。
除了“恶意”管理员带来的安全风险外,使用 AIOS 的网站还将面临黑客入侵的风险,这些黑客一旦获得网站数据库访问权限,便有可能会以明文形式泄露用户密码。
截止到文章发布,WordPress.org 统计数据显示大约四分之一的 AIOS 用户已将更新应用 5.2.0 版本,因此推算大概仍有超过 75 万个网站处于易受攻击状态。
更不幸的是,WordPress 一直以来都是网络攻击者的攻击目标,一些使用 AIOS 的网站可能已经被泄露,再加上该安全问题已经在网上传播了三周多,且 Updraft 没有警告用户暴露风险的增加,因此,可能已经发生了一些安全威胁事件。
最后,使用 AIOS 的网站应该尽快更新到最新版本,并要求用户重置密码。
手机浏览器自动跳转到非法网页
这个是网页的行为。 你正在浏览的网页中的javaScript执行了一段跳转的代码,跳转到了恶意站点。 自动下载软件,这个是后面的恶意站点或者说是推广站点的脚本做的事情。 浏览器很难判断这种行为。 因为页面跳转和下载是一种基础能力。 就像汽车一样,可以方便大家生活,也能去撞人。 当然浏览器也都在努力去判断和过滤这种骚扰用户的行为。 别人说的装各种卫士等等,技术上是不可能拦截这种情况的。 基本都不大管用。 不过,这个也不用担心,让你下载你不要下载就行了。 就算一不小心下载了也没多大关系,不要安装就可以了。 要是你也安装了,那就有事了。 网页因为有浏览器限制了,所以是不会对你的手机造成伤害的。 下载的东西,只要没安装,它是运行不了的,也不会造成伤害。 只是这些东西很烦人罢了。
如何去除IE7地址栏网站图标
控制面板中删除,卸载这些插件。
wordpress是什么软件?
WordPress 是一个注重美学、易用性和网络标准的个人信息发布平台 虽为免费的开源软件,但其价值是无法用金钱来衡量.使用 WordPress 可以搭建功强大的网络信息发布平台,但更多的是应用于个性化的博客.针对博客的应用,WordPress 能让您省却对后台技术的担心,集中精力做好网站的内容.
发表评论