WordPress安全插件AIOS明文存储密码漏洞

WordPress安全插件All-In-One Security被发现做了与其设计目的完全相反的事情。5.1.9版本更新中的一个错误导致用户密码以明文形式存储在数据库中，使其容易被网站管理员滥用。

AIOS安装在超过100万个网站上，为WordPress网站提供安全保护。在今年5月更新后，发现该工具正在收集密码并以明文形式存储在数据库中。这意味着具有最高特权和管理权限的网站管理员可以轻松地将这些密码滥用于其他（恶意）目的。

AIOS 5.1.9版本中的错误在三周前曝光，当时有用户在WordPress论坛上报告了这个问题，担心在合规审计的安全审查中会对他们不利。AIOS通过提供删除记录数据的脚本来回应，但不幸的是该脚本没有起作用。

AIOS修复漏洞并发布新版本

AIOS现已修复该错误并发布了新的5.2.0版本。开发人员敦促用户安装此最新版本并定期更改密码。他们还建议用户对其账户和WordPress网站应用双因素认证（2FA）。

总之，AIOS WordPress安全插件被发现做了与其设计目的完全相反的事情。5.1.9更新中的错误导致用户密码以明文形式存储在数据库中，使其容易被网站管理员滥用。AIOS现已修复该错误并发布了新的5.2.0版本，敦促用户安装此最新版本并定期更改密码。他们还建议用户对其账户和WordPress网站应用双因素认证（2FA）。