imágenes falsas
All-In-One Security, un complemento de seguridad de WordPress instalado en más de 1 millón de sitios web, emitió una actualización de seguridad después de haber sido descubierto hace tres semanas registrando contraseñas de texto sin formato y almacenándolas en una base de datos accesible para los administradores del sitio web.
Las contraseñas se registraron cuando los usuarios de un sitio que usaban el complemento, generalmente abreviado como AIOS, iniciaron sesión, el desarrollador de AIOS dijo el jueves. El desarrollador dijo que el registro fue el resultado de un error introducido en mayo en la versión 5.1.9. La versión 5.2.0 lanzada el jueves corrige el error y también “elimina los datos problemáticos de la base de datos”. La base de datos estaba disponible para las personas con acceso administrativo al sitio web.
Una transgresión de seguridad importante
Un representante de AIOS escribió en un correo electrónico que “obtener algo de este defecto requiere iniciar sesión con los privilegios administrativos de más alto nivel, o equivalente. es decir, puede ser explotado por un administrador deshonesto que ya puede hacer esas cosas porque es un administrador”.
Sin embargo, los profesionales de la seguridad han advertido durante mucho tiempo a los administradores que nunca almacenen las contraseñas en texto sin formato, dada la relativa facilidad que los piratas informáticos han tenido durante décadas para violar sitios web y hacerse con los datos almacenados en ellos. En ese contexto, la escritura de contraseñas de texto sin formato en cualquier tipo de base de datos, sin importar quién tenga acceso a ella, representa una transgresión de seguridad importante.
La única forma aceptable de almacenar contraseñas durante más de dos décadas es como un hash criptográfico que se genera utilizando lo que a menudo se caracteriza como un algoritmo lento, lo que significa que requiere tiempo y recursos informáticos superiores al promedio para descifrarlo. Esta precaución actúa como una especie de póliza de seguro. Si se viola una base de datos, los actores de amenazas requerirán tiempo y recursos informáticos para convertir los hash en su texto sin formato correspondiente, dando tiempo a los usuarios para cambiarlos. Cuando las contraseñas son seguras, es decir, al menos 12 caracteres, generadas aleatoriamente y únicas para cada sitio, generalmente es inviable para la mayoría de los actores de amenazas descifrarlas cuando se codifican con un algoritmo lento.
Los procesos de inicio de sesión de algunos servicios más grandes a menudo emplean sistemas que intentan proteger los contenidos de texto sin formato, incluso del sitio mismo. Sin embargo, todavía es común que muchos sitios tengan acceso breve a los contenidos de texto sin formato antes de pasarlos al algoritmo hash.
El error de registro de contraseña salió a la superficie hace al menos tres semanas en un foro de WordPress cuando un usuario descubrió el comportamiento y se preocupó en una publicación de que la organización fallaría en una próxima revisión de seguridad realizada por auditores de cumplimiento de terceros. El mismo día, un representante de AIOS respondió: “Este es un error conocido en la última versión”. El representante pro porcionó un script que se suponía que borraría los datos registrados. El usuario informó que el script no funcionó.
El usuario también preguntó por qué AIOS no estaba haciendo una solución generalmente disponible en ese momento, escribiendo:
Este es un gran problema. Cualquiera, como un contratista, tiene acceso al nombre de usuario y las contraseñas de todos los demás administradores del sitio.
Además, como ha documentado nuestro pentesting, los contratistas y diseñadores de sitios tienen prácticas de contraseñas muy deficientes. Las credenciales de nuestro contrato son las mismas que usan en TODOS SUS OTROS SITIOS DE CLIENTES (y su Gmail y Facebook).
AIOS ofrece una guía de contraseñas mayormente sólida
El aviso del jueves decía: “Este problema era importante para rectificar y nos disculpamos por el lapso”. Continuó reiterando los consejos estándar, que incluyen:
- Asegúrese de que AIOS y cualquier otro complemento que use estén actualizados. Esto garantiza que se corrijan las vulnerabilidades identificadas por los desarrolladores o la comunidad, lo que ayuda a mantener su sitio seguro. Puede ver qué versión del complemento está utilizando en su panel de control. Se le notificará de cualquier actualización pendiente dentro de la pantalla del complemento en el tablero de WordPress. Esta información también está disponible en la sección de actualizaciones del tablero de WordPress. Un complemento como “Easy Updates Manager” puede ayudarlo a automatizar este proceso
- Cambie todas las contraseñas regularmente, especialmente si cree que su contraseña ha sido comprometida. Esto evitará que cualquier persona con su información de inicio de sesión cause daños a su sitio o acceda a sus datos.
- Habilite siempre la autenticación de dos factores en sus cuentas (WordPress y otros). Esta capa adicional de protección funciona al verificar su inicio de sesión a través de un segundo dispositivo, como su teléfono móvil o tableta. Es una de las formas más simples y efectivas de mantener sus datos fuera del alcance de los piratas informáticos: con la autenticación de dos factores, una contraseña robada aún no permite que un atacante inicie sesión en una cuenta. AIOS incluye un módulo de autenticación de dos factores para proteger sus sitios de WordPress.
Si bien la mayoría de los consejos son sólidos, la recomendación de cambiar regularmente las contraseñas está desactualizada. En los últimos años, los profesionales de la seguridad han llegado a la conclusión de que los cambios de contraseña pueden hacer más daño que bien cuando no hay razón para sospechar un compromiso de cuenta. El razonamiento: los cambios regulares de contraseña alientan a los usuarios a elegir contraseñas más débiles. Microsoft ha caracterizado la práctica como “antigua y obsoleta”.
Cualquiera que use AIOS debe instalar la actualización tan pronto como sea posible y asegurarse de que la eliminación del registro funcione como se describe. Los usuarios finales o administradores que sospechen que su contraseña fue capturada por un sitio web que usa AIOS deben cambiarla en ese sitio y, en caso de que usen la misma contraseña en otros sitios, también en esos otros sitios.