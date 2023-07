Een populaire securityplug-in voor WordPress slaat wachtwoorden van gebruikers die inloggen plaintext op in de database. Drie weken nadat gebruikers hierover klaagden kwam de ontwikkelaar met een update, maar die blijkt voor problemen op websites te zorgen. Het gaat om de plug-in "All-In-One Security (AIOS) – Security and Firewall". Deze plug-in fungeert als een webapplicatie-firewall en biedt verschillende beveiligingsopties voor het inlogproces, zoals tweefactorauthenticatie en lockouts na een bepaald aantal verkeerde inlogpogingen.

Meer dan een miljoen WordPress-sites hebben de plug-in geïnstalleerd. Drie weken geleden ontdekte een gebruiker dat de plug-in inlogpogingen van gebruikers plaintext in de database opslaat. "We zullen met honderd procent zekerheid zien dat hackers de inloggegevens zullen verzamelen uit de logs van gecompromitteerde sites die van de plug-in gebruikmaken", aldus Oliver Sild van securitybedrijf Patchstack. "De ontwikkelaar heeft gebruikers niet eens verteld om al hun wachtwoorden te wijzigen."

Op 10 juli verscheen versie 5.2.0 van de plug-in, maar die zorgde bij websites voor "fatal errors". Vervolgens verscheen afgelopen woensdag een nieuwe versie met een fix, maar ook bij die versie klagen gebruikers over niet meer werkende websites. Daarnaast blijkt dat van de meer dan één miljoen websites waarop de plug-in draait pas 525.000 de versies draaien waarin het probleem is verholpen. Dat houdt in dat nog bij zo'n half miljoen websites de inlogpogingen nog steeds worden gelogd.