Plugin de segurança WordPress guardava passwords em plaintext

O plugin de segurança All-In-One Security (AIOS) para WordPress estava a guardar as passwords dos logins em plaintext, deixando-as em risco.

Este caso vem revelar que, só porque algo diz ser um produto de "segurança", não significa que realmente seja tão seguro quanto se possa pensar. Na verdade, estamos perante uma das mais básicas e inacreditáveis falhas de segurança.

O All-In-One Security (AIOS) da Updraft é usado em mais de um milhão de sites WordPress, disponibilizando múltiplas ferramentas de segurança, como protecção contra ataques brute force, de bots, e outros. Daí que um utilizador tenha ficado muito intrigado ao ver que o plugin estava a guardar as passwords em plaintext, tornando-se numa flagrante falha de segurança e até violando diversas directivas, incluindo o RGPD.

Quando contactada sobre isso, a empresa começou por dizer que se tratava de um bug conhecido e que deveria ser corrigido na próxima versão; coisa que finalmente acabou por ser feito com o lançamento da versão 5.2.0 a 11 de Julho. Ainda assim, a Updraft tentou minimizar o incidente dizendo que isto só seria um problema no caso do site ter um "administrador malicioso" que tentasse usar as passwords dos utilizadores noutros serviços que pudessem usar - aparentemente esquecendo-se dos múltiplos cenários em que um atacante se poderia infiltrar no site e desta forma ficar com acesso a todas as passwords registadas pelo plugin.

O maior problema é que, mesmo já se tendo passado mais de uma semana, apenas 30% dos sites WordPress que usam este plugin fizeram a actualização para a versão mais recente, o que deixa mais de 600 mil sites vulneráveis a esse tipo de ataques. Os sites que usem este plugin e que levarem a segurança dos seus utilizadores a sério deverão pedir ou forçar a actualização da password.