WordPress: Sicherheits-Plugin speichert Passwörter im Klartext
Das auf Millionen Seiten installierte WordPress-Plugin All-In-One-Security (AIOS) hatte Passwörter von Nutzern im Klartext gespeichert. Der Fehler wurde inzwischen beseitigt, sodass Kennwörter in der neuesten Version gehasht werden. Admins sollten das Plugin aktualisieren.
Grundsätzlich besteht für Nutzer immer das Risiko, auf Phishing-Seiten zu landen. Trotzdem kann der Bug auch bei seriösen Diensten für Probleme sorgen. Obwohl die im Klartext aufgezeichneten Kennwörter zunächst nur von Administratoren eingesehen werden können, könnte ein Hacker andere Schwachstellen ausnutzen und sich Zugang zu den Inhalten verschaffen. Infografik: Regelmäßige Passwortänderung für Deutsche kaum ein Thema
Ebendarum werden Passwörter schon seit längerer Zeit standardmäßig in gehashter Form abgelegt. Beim Anmelden wird das eingegebene Kennwort ebenfalls gehasht und mit dem Hash in der Datenbank verglichen. Für einen Angreifer ist es in den meisten Fällen praktisch unmöglich, aus dem Hash das ursprüngliche Passwort zu rekonstruieren.
Siehe auch:
Administratoren können Passwörter einsehen
Wie Ars Technica berichtet, gab es im Support-Forum von WordPress schon vor drei Wochen einen Hinweis auf das Problem. Der Fehler ist in der AIOS-Version 5.1.9 vom 9. Mai 2023 zu finden. Die Software hat von Nutzern eingegebene Passwörter versehentlich im Klartext protokolliert und in die Datenbank des Webservers geschrieben. Das gibt böswilligen Administratoren die Option, die Kennwörter bei anderen Diensten auszuprobieren. Zahlreiche Nutzer verwenden plattformübergreifend das gleiche Passwort.Grundsätzlich besteht für Nutzer immer das Risiko, auf Phishing-Seiten zu landen. Trotzdem kann der Bug auch bei seriösen Diensten für Probleme sorgen. Obwohl die im Klartext aufgezeichneten Kennwörter zunächst nur von Administratoren eingesehen werden können, könnte ein Hacker andere Schwachstellen ausnutzen und sich Zugang zu den Inhalten verschaffen. Infografik: Regelmäßige Passwortänderung für Deutsche kaum ein Thema
Ebendarum werden Passwörter schon seit längerer Zeit standardmäßig in gehashter Form abgelegt. Beim Anmelden wird das eingegebene Kennwort ebenfalls gehasht und mit dem Hash in der Datenbank verglichen. Für einen Angreifer ist es in den meisten Fällen praktisch unmöglich, aus dem Hash das ursprüngliche Passwort zu rekonstruieren.
Erweiterung über das Admin-Panel aktualisieren
Wer All-In-One-Security auf seiner WordPress-Seite nutzt, sollte die Erweiterung auf den neuesten Stand bringen. Das Update auf Version 5.2.0 sorgt dafür, dass AIOS keine Passwörter im Klartext mehr aufzeichnet. Zudem werden alle zuvor gespeicherten Kennwörter gelöscht, sodass Administratoren die Daten nicht manuell bereinigen müssen. Die Aktualisierung kann wie üblich direkt über das Admin-Panel des Content-Management-Systems durchgeführt werden.
Zusammenfassung
- WordPress-Plugin AIOS speicherte Passwörter im Klartext.
- Fehler wurde inzwischen beseitigt, Passwörter werden gehasht.
- Böswillige Administratoren können Kennwörter ausprobieren.
- Update auf Version 5.2.0 verhindert Klartext-Speicherung.
- Aktualisierung über Admin-Panel von WordPress möglich.
Siehe auch:
- Elementor: Schwachstelle in WordPress-Plugin betrifft Millionen Seiten
- PHP Everywhere: Kritische Lücke ermöglicht WordPress-Übernahme
- WordPress wird Googles Cookie-Ersatz FLoC kategorisch blocken
- WordPress: Schwachstelle im File Manager betrifft über 700.000 Seiten
- WordPress: Apple hält Update wegen fehlender In-App-Käufe zurück (Update)
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen