أصدر All-In-One Security ، وهو مكون إضافي للأمان في WordPress مثبت على أكثر من مليون موقع ويب ، تحديثًا أمنيًا بعد أن تم اكتشافه قبل ثلاثة أسابيع وهو يسجل كلمات مرور نص عادي ويخزنها في قاعدة بيانات يمكن لمسؤولي مواقع الويب الوصول إليها.
تم تسجيل كلمات المرور عندما يقوم مستخدمو موقع ما باستخدام المكون الإضافي ، عادةً ما يتم اختصاره كـ AIOS ، بتسجيل الدخول ، مطور AIOS قال الخميس. قال المطور إن التسجيل كان نتيجة خطأ تم تقديمه في مايو في الإصدار 5.1.9. الإصدار 5.2.0 الذي تم إصداره يوم الخميس يصلح الخطأ وأيضًا “يحذف البيانات التي بها مشكلات من قاعدة البيانات”. كانت قاعدة البيانات متاحة للأشخاص الذين لديهم وصول إداري إلى الموقع.
انتهاك امني كبير
كتب ممثل AIOS في رسالة بريد إلكتروني أن “الحصول على أي شيء من هذا العيب يتطلب تسجيل الدخول بأعلى مستوى من الامتيازات الإدارية ، أو ما يعادلها. على سبيل المثال ، يمكن استغلالها من قبل مسؤول مارق يمكنه بالفعل القيام بمثل هذه الأشياء لأنه مشرف “.
ومع ذلك ، لطالما نصح ممارسو الأمن المشرفين بعدم تخزين كلمات المرور مطلقًا في نص عادي ، نظرًا للسهولة النسبية التي يتمتع بها المتسللون لعقود من الزمن في اختراق مواقع الويب والاستيلاء على البيانات المخزنة عليها. في هذا السياق ، فإن كتابة كلمات مرور ذات نص عادي لأي نوع من قواعد البيانات – بغض النظر عمن لديه حق الوصول إليها – يمثل انتهاكًا أمنيًا كبيرًا.
الطريقة الوحيدة المقبولة لتخزين كلمات المرور لأكثر من عقدين هي تجزئة التشفير التي يتم إنشاؤها باستخدام ما يوصف غالبًا بأنه خوارزمية بطيئة، مما يعني أنه يتطلب وقتًا وموارد حوسبة أعلى من المتوسط ليتم اختراقها. هذا الاحتياط بمثابة بوليصة تأمين من نوع ما. إذا تم اختراق قاعدة البيانات ، فإن الجهات الفاعلة في التهديد تتطلب الوقت والموارد الحاسوبية لتحويل التجزئة إلى نص عادي مطابق لها ، مما يمنح المستخدمين الوقت لتغييرها. عندما تكون كلمات المرور قوية – بمعنى ما لا يقل عن 12 حرفًا ، يتم إنشاؤها عشوائيًا وفريدة من نوعها لكل موقع – فمن غير المجدي عمومًا لمعظم الجهات الفاعلة في التهديد كسرها عند تجزئتها باستخدام خوارزمية بطيئة.
غالبًا ما تستخدم عمليات تسجيل الدخول من بعض الخدمات الكبيرة أنظمة تحاول حماية محتويات النص العادي ، حتى من الموقع نفسه. ومع ذلك ، لا يزال من الشائع بالنسبة للعديد من المواقع الوصول لفترة وجيزة إلى محتويات النص العادي قبل تمريرها إلى خوارزمية التجزئة.
خطأ تسجيل كلمة المرور ظهرت على السطح منذ ثلاثة أسابيع على الأقل في منتدى WordPress عندما اكتشف المستخدم السلوك وقلق في إحدى المشاركات ، فقد يؤدي ذلك إلى فشل المنظمة في مراجعة أمنية قادمة من قبل مدققي الامتثال من الجهات الخارجية. في نفس اليوم ، رد ممثل AIOS ، “هذا خطأ معروف في الإصدار الأخير.” قدم الممثل نصًا كان من المفترض أن يمسح البيانات المسجلة. أبلغ المستخدم أن البرنامج النصي لا يعمل.
سأل المستخدم أيضًا عن سبب عدم قيام AIOS بإجراء إصلاح متاح بشكل عام في ذلك الوقت ، فكتب:
هذا هو مشكلة كبيرة. أي شخص ، مثل المقاول ، لديه حق الوصول إلى اسم المستخدم وكلمات المرور لجميع مسؤولي الموقع الآخرين.
علاوة على ذلك ، كما تم توثيق اختبار pentesting الخاص بنا ، فإن المقاول ومصممي المواقع لديهم ممارسات كلمة مرور سيئة للغاية. بيانات اعتماد عقدنا هي نفسها التي يستخدمونها في جميع مواقع عملائهم الأخرى (و Gmail و Facebook).
تقدم AIOS في الغالب إرشادات كلمة مرور سليمة
نص تحذير يوم الخميس: “كان من المهم تصحيح هذه المشكلة ونحن نعتذر عن السقوط” ، ومضت لتكرار النصائح القياسية ، بما في ذلك:
- تأكد من تحديث AIOS وأي مكونات إضافية أخرى تستخدمها. يضمن هذا تصحيح أي ثغرات تم تحديدها بواسطة المطورين أو المجتمع ، مما يساعد في الحفاظ على أمان موقعك. يمكنك معرفة إصدار المكون الإضافي الذي تستخدمه داخل لوحة التحكم. سيتم إخطارك بأي تحديثات معلقة داخل شاشة البرنامج المساعد على لوحة معلومات WordPress. تتوفر هذه المعلومات أيضًا في قسم تحديثات لوحة معلومات WordPress. يمكن أن يساعدك أحد المكونات الإضافية مثل “Easy Updates Manager” في أتمتة هذه العملية
- قم بتغيير كل كلمات المرور بانتظام ، خاصة إذا كنت تعتقد أن كلمة المرور الخاصة بك قد تم اختراقها. سيؤدي هذا إلى منع أي شخص لديه معلومات تسجيل الدخول الخاصة بك من التسبب في تلف موقعك أو الوصول إلى بياناتك.
- قم دائمًا بتمكين المصادقة الثنائية على حساباتك (WordPress وغير ذلك). تعمل طبقة الحماية الإضافية هذه عن طريق التحقق من تسجيل الدخول الخاص بك من خلال جهاز ثانٍ مثل هاتفك المحمول أو جهازك اللوحي. إنها واحدة من أبسط الطرق وأكثرها فعالية لإبقاء بياناتك بعيدًا عن أيدي المتسللين: باستخدام المصادقة ذات العاملين ، لا تزال كلمة المرور المسروقة لا تسمح للمهاجم بتسجيل الدخول إلى حساب. يتضمن AIOS وحدة مصادقة ثنائية لحماية مواقع WordPress الخاصة بك.
في حين أن معظم النصائح سليمة ، فإن التوصية بتغيير كلمات المرور بانتظام أصبحت قديمة. في السنوات الأخيرة ، توصل ممارسو الأمن إلى أن تغيير كلمة المرور يمكن أن يكون مفيدًا تضر أكثر مما تنفع عندما لا يكون هناك سبب للشك في اختراق الحساب. السبب: تشجع التغييرات المنتظمة لكلمات المرور المستخدمين على اختيار كلمات مرور أضعف. وصفت Microsoft هذه الممارسة بأنها “قديمة وعفا عليها الزمن. “
يجب على أي شخص يستخدم AIOS تثبيت التحديث في أقرب وقت ممكن عمليًا والتأكد من أن حذف السجل يعمل كما هو موضح. يجب على المستخدمين النهائيين أو المسؤولين الذين يشتبهون في أن كلمة المرور الخاصة بهم قد تم التقاطها بواسطة موقع ويب يستخدم AIOS ، يجب عليهم تغييرها على هذا الموقع ، وفي حالة استخدامهم لنفس كلمة المرور على مواقع أخرى ، فإن تلك المواقع الأخرى أيضًا.