AIOS插件安全漏洞：开发者发布补丁和新版本

5.1.9版本发现漏洞

安装量超过百万网站的All-In-One Security（AIOS）插件开发者近日发布补丁，此前用户发现该插件以明文形式记录密码，并将其存储在网站管理员可访问的数据库中。

AIOS是一款旨在防范网络攻击的安全插件，包括暴力破解尝试。它会警告使用默认管理员用户名登录的行为，防止机器人攻击，记录用户活动并打击评论垃圾。

约三周前，有人在WordPress论坛上发现了这个保存密码的漏洞。发现插件异常行为的用户表示担忧，因为这可能导致他的组织无法通过第三方审计机构即将进行的安全检查。同日，AIOS代表告知他"这是最新版本中的已知漏洞"，并提供了一个本应删除保存数据的脚本。但用户报告称该脚本无效。

现已确认，AIOS在用户登录时会自动保存密码，而包含这些数据的数据库对网站管理员完全开放。开发者解释称，这是今年5月发布的5.1.9版本中出现的漏洞所致。本周发布的5.2.0版本本应修复该问题，并删除插件收集的数据。

AIOS代表强调，要利用此漏洞，攻击者必须拥有管理员或同等权限登录系统。也就是说，只有恶意管理员才能利用此漏洞，“而他们本来就能做这些事情，因为他们是管理员”。

值得注意的是，即使在AIOS 5.2.0发布后，用户仍抱怨更新会"破坏"他们的网站，且不会删除先前收集的密码。为解决此问题，AIOS发布了5.2.1版本，但部分用户仍声称他们的网站仍然无法正常运行。

此外，AIOS维护者现在受到信息安全专家的批评，认为他们应该通知所有受影响的用户有关保存密码的情况，以便用户能够重置凭据。当用户在多个网站上使用相同登录名和密码时，这一点尤为重要。

专家长期警告不要以明文存储密码，因为黑客相对容易入侵网站并窃取数据库中存储的数据。在此背景下，在任何数据库中存储未加密密码——无论谁有权访问——都是严重的安全漏洞。

AIOS插件安全漏洞事件提醒我们使用强密码并定期更改的重要性，也提醒我们使用可靠安全插件并保持更新的重要性。最后，它提醒我们即使是最可靠的安全插件也可能存在漏洞，用户应始终意识到使用它们所带来的风险。