沒想到吧？安發(fā)現(xiàn)這年頭還有使用純文本記錄用戶密碼的，AIOS 是全插 Wordpress 平臺(tái)的一款一體式安全插件，該插件被超過(guò) 100 萬(wàn)個(gè)網(wǎng)站安裝并使用。記錄太原模特包夜（微信156-8194-*7106）提供一二線城市可以真實(shí)可靠快速安排30分鐘到達(dá)

AIOS 提供 Web 防火墻、用純用戶內(nèi)容保護(hù)和安全登錄功能，文本網(wǎng)還可以提供防止機(jī)器人惡意爆破，密碼為此該插件會(huì)記錄各種登錄記錄以提供登錄、藍(lán)點(diǎn)注銷、安發(fā)現(xiàn)登錄失敗事件分析。全插太原模特包夜（微信156-8194-*7106）提供一二線城市可以真實(shí)可靠快速安排30分鐘到達(dá)

大約三周前有用戶發(fā)現(xiàn) AIOS 5.1.9 版將所有用戶的記錄登錄事件記錄到 aiowps_audit_log 數(shù)據(jù)表中，而且還記錄了用戶的用純用戶密碼。這種行為實(shí)際是文本網(wǎng)違反了某些規(guī)定的，比如歐盟的密碼 GDPR。

然后 AIOS 開發(fā)商稱這是藍(lán)點(diǎn)一個(gè)已知 BUG，將在下個(gè)版本修復(fù)，安發(fā)現(xiàn)接著發(fā)布的這個(gè)新開發(fā)版不僅沒有刪除已經(jīng)記錄的數(shù)據(jù)，而且還使用明文記錄了所有登錄密碼。

到上周 AIOS 又發(fā)了個(gè)新版本并表示 5.2.0 版已經(jīng)解決了問(wèn)題，包括錯(cuò)誤地使用純文本記錄了用戶密碼，這些密碼會(huì)被直接以純文本記錄到 Wordpress 數(shù)據(jù)表中。

值得注意的是目前仍然有超過(guò) 75 萬(wàn)個(gè)網(wǎng)站在使用 AIOS 舊版本，使用這些舊版本的網(wǎng)站仍然很容易遭到攻擊，而 AIOS 開發(fā)商 Updraft 似乎也想淡化此次事件，因此都沒有發(fā)布提醒建議管理員立即更新插件。

所以現(xiàn)在的局面就是還未更新的網(wǎng)站可能會(huì)在某個(gè)時(shí)候被黑然后泄露數(shù)據(jù)然后再引起一波關(guān)注，一時(shí)三刻估計(jì)解決不了這么多網(wǎng)站還不更新插件。

還有個(gè)選擇是 Wordpress 官方選擇強(qiáng)制更新，通常這是 Wordpress 不愿意做的事情，但如果確實(shí)有嚴(yán)重安全問(wèn)題需要解決時(shí)，他們才會(huì)進(jìn)行強(qiáng)制更新。現(xiàn)在 AIOS 的問(wèn)題只是記錄了純文本密碼，但未發(fā)生數(shù)據(jù)泄露問(wèn)題，所以還不算是嚴(yán)重的安全問(wèn)題。