Kombinace uživatelského jména a hesla, jsou otevřené dveře pro jakéhokoliv útočníka. A pokud nějaký plugin uloží obě tyto informace do logu jako čistý text, tak je to, jako by jste mu to naservírovali na zlatém podnose.
Plugin All In One Security, který sám sebe označuje jako nejlépe hodnocený security plugin přesně toto dělá.
Do databáze si uloží jak uživatelské jméno, tak heslo v nezašifrované podobě.
Přikládám odkaz na diskuzi https://wordpress.org/support/topic/cleartext-passwords-written-to-aiowps_audit_log/
Když si projdete všechny komentáře, tak ten přístup developera k nahlášenému problému je celkem pohodový. Prostě žádný stres. Dva týdny na fixnutí problému stačí.
Plugin má ve statistikách jeden milion instalací, takže se určitě objeví bombastické titulky – chyba v pluginu ohrožuje více než milion webů.
To je samozřejmě pravda, ale především ohrožuje majitele webů, protože takový únik dat zákazníků e-shopu nebude nic pěkného.
A po tom, co jsem četl v diskuzi, bych si takový plugin na webu nenechal.
