La comunidad de WordPress se enfrenta a una vulnerabilidad de seguridad significativa. Un error en el reconocido plugin de seguridad All-In-One Security (AIOS), instalado en más de un millón de sitios web, ha estado almacenando contraseñas en texto plano, una práctica altamente riesgosa y en contra de todas las recomendaciones de seguridad.
El origen del problema
La amenaza surge de un error introducido en mayo en la versión 5.1.9 del plugin. Este defecto provocó que las contraseñas de los usuarios se registraran en texto plano cada vez que iniciaban sesión en un sitio que utiliza AIOS. Los datos comprometidos se almacenaban en una base de datos accesible a aquellos con acceso administrativo al sitio.
Respuesta del desarrollador
El equipo detrás de AIOS respondió a esta crisis de seguridad lanzando una nueva versión del plugin, la 5.2.0. Esta actualización no sólo corrige el error, sino que también elimina los datos comprometidos de la base de datos.
A pesar de la gravedad de la situación, los desarrolladores minimizaron el impacto, afirmando que sólo aquellos con los privilegios administrativos más altos podrían explotar el error. Sin embargo, es crucial recordar que almacenar contraseñas en texto plano es un riesgo significativo de seguridad, sin importar quién tenga acceso a los datos.
El descubrimiento del fallo
El fallo fue descubierto en un foro de WordPress por un usuario preocupado por las implicaciones de seguridad de este comportamiento. El descubrimiento provocó una rápida respuesta del equipo de AIOS, que reconoció la existencia del error y proporcionó un script para borrar los datos comprometidos. Sin embargo, este parche resultó inefectivo.
Consejos de seguridad
En respuesta a la crisis, AIOS emitió una serie de recomendaciones de seguridad, incluyendo mantener el plugin actualizado, cambiar las contraseñas con regularidad y habilitar la autenticación de dos factores. A pesar de ser prácticas sólidas, algunas de estas recomendaciones han sido cuestionadas recientemente. Específicamente, el cambio regular de contraseñas puede llevar a los usuarios a optar por contraseñas más débiles.
Este incidente destaca la importancia de la seguridad en los plugins de WordPress y la necesidad de tomar medidas adecuadas para proteger los datos de los usuarios. Mientras que la nueva versión del plugin AIOS soluciona este problema específico, es un recordatorio de que la seguridad en línea es un esfuerzo constante y requiere una vigilancia continua.
Más información en aiosplugin.com