轉載「WordPress 外掛程式 AIOS 被發現使用明文記錄密碼」訊息

 【社群媒體資安近況】

💣💣💣WordPress 外掛程式 AIOS 被發現使用明文記錄密碼🔧🔧🔧

一個名為 All-in-One Security（AIOS）的 WordPress 資安防護外掛程式，近日遭到用戶發現，其運作方式以明文方式來儲存用戶輸入的密碼，而未經加密儲存；這可能導致使用者的資安曝於風險之下。

約在三個多星期前，有位 All-in-One Security（AIOS）的使用者在 WordPress.org 的支援討論區中發文指出，他發現 All-in-One Security（AIOS）v5.19 不只會把使用者的登入記錄寫入到 aiowps_audit_log 這個用來記錄用戶登入、登出、登入失敗等事件的資料表中，更會以明文方式記錄用戶輸入的密碼。

該用戶在發文中也強調，這種做法已經明顯違反 NIST 800-63 3、ISO 27000、GDPR 等資安規範或法規。

 Updraft 在 7 月 11 日時提供了新版的 All-in-One Security（AIOS）v5.2.0，自此版本起不再以明文儲存用戶輸入的密碼，同時會自資料表中刪除先前儲存的密碼。

建議 All-in-One Security（AIOS）的用戶應立即將該外掛程式升級至 V5.2.0 版。

詳細資訊請參考：https://www.twcert.org.tw/tw/cp-104-7255-d4459-1.html