这个具有超过一百万个安装的WordPress插件存在一个重大的安全漏洞

　　WordPress网站构建器具有超过一百万用户的流行插件被授予以纯文本存储用户密码，可用于网站管理员 ，只需在他们觉得的时候阅读。 　　有关ARS Technica的报告发现
，至少在至少一百万个网站上安装了有关插件，称为“多合一安全性（AIO）” 。 　　本周早些时候 ，其开发人员确认了该缺陷
，称这是插件版本5.1.9的错误
。现在，有5.2.0版 ，建议用户立即更新其插件。开发人员说
，除了阻止插件以明文保存用户密码外，该补丁还“从数据库中删除有问题的数据 ” 。 　　你可能喜欢 　　另一个严重的WordPress插件漏洞可能会使40,000个网站处于攻击风险 　　WordPress插件Auth旁路几乎在披露后立即被利用 　　成千上万的WordPress网站针对恶意插件后门攻击 　　流氓管理员 　　该公司代表通过电子邮件与ARS Technica交谈 ，试图弄清缺陷，称密码仅适用于管理员
。当管理员变得流氓（或被盗窃/妥协的帐户被盗窃）时
，这是一个问题，因为他们来了：“从这种缺陷中获得任何东西都需要登录最高级别的行政特权 ，或同等学历。 　　但是
，没有人应该可以访问任何人＆rsquo的密码 。归根结底，黑客也可以尝试在其他平台和服务上使用这些密码
。许多用户在众多服务中获得相同的登录凭据 ，违反一项可能意味着违反许多服务。阅读更多 　　> WordPress插件公开了50万个站点以攻击 　　>如何免费建立网站：预算上创建网站的指南 　　>在那里查看最佳ID盗窃保护 　　不过
，Aios＆rsquo;开发人员对这个错误表示歉意，并给了一些关于管理员接下来要做的事情的指示 。这包括更新所有WordPress插件 ，如果可能的话
，可以启用多因素身份验证（MFA），并定期更改密码。 　　ARS Technica提醒后 ，后者不再被认为是行业标准的
，因为一些研究确定，常规密码更改可能弊大于利
。 　　你是专业人士吗？订阅我们的新闻通讯 　　注册techradar Pro新闻通讯 ，以获取您的业务成功所需的所有新闻，意见
，功能和指导！请与我联系我的其他未来品牌的新闻，并代表我们可信赖的合作伙伴或Sponsorsby提交您的信息 ，您同意16岁或超过16岁的Wordpress Servistsing Servists
，您的信息与您同意您的信息。 　　通过：ARS Technica