Sự việc bắt đầu khi người dùng có tên @c0ntr07 đăng lên forum support của WordPress Repository về phát hiện của anh khi trên dữ liệu Log khi chạy tính năng Autit bảo mật WordPress bằng plugin All in One Security (AIOS – AIO Security):
Phát hiện này cho thấy plugin All in One Security để nguyên bản mật khẩu (cleartext password) khi lưu mật khẩu của người dùng WordPress vào database.
Đây là lỗi bảo mật sơ đẳng trong lập trình, vì mã hóa mật khẩu trước khi lưu trữ là tiêu chuẩn cơ bản, bắt buộc trong các qui định bảo mật và luật về bảo mật thông tin người dùng trên toàn cầu như NIST 800-63-3, ISO27000, CIS, HIPAA, GDPR.
Lỗi cleartext password nguy hiểm ra sao?
Khi lưu nguyên trạng mật khẩu của users (tất nhiên kèm với username) trên database, thì bất kỳ ai truy xuất được database đều có thể lấy được mật khẩu của người dùng.
Thông thường, trên WordPress hay các mã nguồn khác, database chỉ có thể được truy xuất bởi người dùng có quyền hạn cao nhất là Admin/ Administrator.
Tuy nhiên, đó là ở tình trạng lý tưởng, bởi vì trong thực tế, có rất nhiều thủ đoạn để hacker có thể lợi dụng các điểm yếu bảo mật – hoặc dựa vào các lỗ hổng bảo mật đã được công khai – để tấn công và truy xuất dữ liệu từ database mà không cần phải đăng nhập với quyền hạn Admin/ Administrator.
Chưa kể, nếu hacker tấn công thành công ở tầng máy chủ (ví dụ dựa vào lỗ hổng trên cPanel) thì việc lấy database của toàn bộ website trên máy chủ dễ như trở bàn tay.
Nâng cấp ngay All in One Security
Hiện tại AIO Security đã ra mắt phiên bản mới vá lỗ hổng này, tức từ nay về sau, password của người dùng sẽ được mã hóa trước khi lưu trữ trên database.
Như vậy, nếu ai đó hoặc hacker có được database, thì cũng không thể biết được mật khẩu gốc của người dùng trên website.
Nếu bạn còn sử dụng AIOS từ 5.1.9 trở xuống thì cần lập tức update lên bản mới nhất để tránh các tình huấn phát sinh về sau.
Why Always Anderson?
Sự cố lần này khiến uy tín của công ty đứng sau AIOS là UpdraftPlus thêm một lần nữa giảm sút trên thị trường plugin WordPress.
Bởi vì AIOS không phải là plugin thông thường mà là plugin Bảo mật WordPress, đang chạy trên hơn 1 triệu website WordPress toàn cầu.
Rất khó để chấp nhận việc một plugin Bảo mật danh tiếng mà lại không mã hóa mật khẩu khi lưu trữ, điều chỉ xảy ra mới những người mới bắt đầu học lập trình.
Tuy nhiên, cách đội ngũ đứng sau AIOS phản ứng trước sự cố này càng đáng trách hơn cả lỗi lập trình trên sản phẩm của họ!
Thực tế, AIOS đã có bản cập nhật vá lỗi trước cả khi người dùng @c0ntr07 đăng công khai trên WordPress ORG Forum nhưng họ không thông báo chi tiết về lỗ hổng, lại càng không hề khuyến cáo người dùng đổi mật khẩu.
Sau khi các chuyên trang về bảo mật như Sucurity, Patchstack, WordFence hay loa phóng thanh WPTavern đồng loạt loan báo lỗ hổng này, thì AIOS mới ra thông báo chi tiết và khuyên người dùng xem xét đổi mật khẩu.
Và cách họ phản pháo lại cộng đồng bảo mật cũng rất tệ, trong phản hồi trên bài đăng ở WPTavern, nhà phát triển AIOS David Anderson cho rằng lỗ hổng bảo mật này không có gì to tát và nó đang bị cộng đồng thổi phồng quá mức, vì:
- Chỉ có người dùng Administrator mới truy xuất được database (nếu bị hack Administrator thì còn có nhiều nguy cơ hơn cả việc lộ mật khẩu người dùng).
- Chỉ cần update bản mới (5.2.0) thì lỗ hổng này biến mất, không còn nguy hiểm nữa (dẫn đến việc khuyến cáo đổi mật khẩu có lẽ không cần thiết).
Cái mà David Anderson và đội ngũ phát triển AIOS cố tình phớt lờ là:
- Có rất nhiều cách truy xuất database dựa vào lỗ hổng trên mã nguồn hoặc server mà không cần phải đăng nhập với quyền Administrator, và chính plugin AIOS trong quá khứ cũng từng dính lỗi bảo mật cho phép tấn công database mà không cần đăng nhập.
- Khi update bản mới và plugin không còn lưu mật khẩu gốc vào database, thì kẻ xấu cũng có thể biết được mật khẩu của người dùng nếu cuộc xâm nhập đã diễn ra trước đó, và tình trạng này càng nguy hiểm hơn khi người dùng cứ tưởng mọi thứ đã an toàn vì plugin đã được update.
Có thể bạn chưa từng nghe tên, David Anderson không chỉ là nhà phát triển của AIOS mà còn là trưởng nhóm phát triển của toàn bộ sản phẩm của UpdraftPlus, với rất nhiều plugin hàng đầu: AIOS, UpdraftPlus, WP-Optimize, Easy Update WordPress,…
Tại sao chúng ta lại nhắc về David Anderson?
David Anderson là nhân vật đã từng gây bão trên cộng đồng WordPress năm ngoái, khi phản pháo kịch liệt các cáo buột về WP-Optimize – trong sự kiện plugin này dùng thủ thuật để đánh lừa các công cụ test tốc độ WordPress nhằm làm đẹp điểm số test tốc độ – qua đó khiến người dùng nhầm tưởng rằng plugin tăng tốc WP-Optimize mang đến kết quả khác biệt so với các đối thủ khác.
Xem lại:
Trong tất cả các sự kiện này, David Anderson đều chuyển hướng sang công kích những người phát hiện và công khai các vấn đề, cho rằng họ cố tình phóng đại chúng để làm mất uy tín của UpdraftPlus đồng thời PR cho sản phẩm của họ.
Năm ngoái David công kích nhà phát triển của FlyingPress, năm nay thì công kích những người làm việc ở PatchStack – công ty hàng đầu thế giới về bảo mật WordPress.
Đối với VN chúng ta thì phản ứng của David Anderson có lẽ cũng không quá xa lạ vì việc này vẫn thường gặp ở một vài công ty, tổ chức với văn hóa trách nhiệm còn kém.
Tuy nhiên, ở cấp độ toàn cầu, việc lảng tránh trách nhiệm và bào chữa bằng việc đổ lỗi sẽ gây mất niềm tin cho người dùng, nhất là trên thị trường plugin WordPress cạnh tranh rất gay gắt.
AIOS chưa phải là plugin bảo mật tốt nhất, vì vẫn còn đó WordFence và iThemes Security, cũng như WP-Optimize chưa bao giờ so được với WP-Rocket hay LiteSpeed Cache.
Với những gì David Anderson đã thể hiện, một lần nữa, người dùng WordPress phải cân nhắc đến tính minh bạch và an toàn của các sản phẩm từ UpdraftPlus.
thất vọng nhỉ. Không ngờ người đứng sau plugin Updraftplus lại hành xử thiếu chuyên nghiệp như vậy.
Updraftplus là plugin backup/di chuyển web yêu thích nhất của mình nữa chớ.
UpdraftPlus Backup lâu nay chưa thấy vấn đề gì, giải pháp auto backup free thì mình thấy UpdraftPlus ổn nhất.