All-In-One Security (AIOS) ปลั๊กอินด้านความปลอดภัยของ WordPress ออกอัพเดตเวอร์ชันล่าสุด 5.2.0 ระบุว่าแก้ไขบั๊กสำคัญในเวอร์ชันก่อนหน้า 5.1.9 โดยพบว่ามีการเก็บ log ในฐานข้อมูล เมื่อมีคนล็อกอินเข้าเว็บไซต์ ส่วนของรหัสผ่านเป็น plaintext ซึ่งผู้ใช้งานสิทธิระดับ Admin เท่านั้นที่เข้าถึง log นี้ได้ แต่ถือเป็นความเสี่ยงสูงด้านความปลอดภัย

Log Table ของฐานข้อมูล ที่เก็บรายละเอียดนี้คือ aiowps_audit_log ซึ่งเก็บข้อมูลกิจกรรมการล็อกอิน-ล็อกเอาท์ รวมทั้งการล็อกอินทีไม่สำเร็จ แต่เวอร์ชัน 5.1.9 พบว่าบันทึกข้อมูลรหัสผ่านที่กรอกเข้ามาด้วย

Updraft ผู้พัฒนาปลั๊กอิน AIOS นี้ ระบุว่าในเวอร์ชัน 5.2.0 ได้แก้ไขปัญหาดังกล่าวแล้ว รวมทั้งล้างข้อมูลรหัสผ่านที่เก็บใน Table นี้ออกไปทั้งหมดด้วย

ข้อมูลจาก WordPress.org พบว่ามีเว็บไซต์ที่ติดตั้งปลั๊กอิน AIOS มากกว่า 1 ล้านเว็บไซต์ โดยอัพเดตเป็นเวอร์ชันล่าสุด 5.2.0 แล้ว ประมาณ 1 ใน 4 ส่วนอีก 40% ยังใช้เวอร์ชัน 5.1.x จึงยังมีเว็บไซต์อีกจำนวนมากที่มีความเสี่ยง

ที่มา: Bleeping Computer