O All-In-One Security (AIOS), um plug-in do WordPress instalado em mais de um milhão de sites, emitiu uma atualização de segurança depois que um bug introduzido na versão 5.1.9 do software fez com que as senhas dos usuários fossem adicionadas ao banco de dados em formato de texto sem formatação.

O problema surgiu há quase três semanas, quando um usuário do plug-in relatou o comportamento, afirmando que estava absolutamente chocado com o fato de um plug-in de segurança estar cometendo um erro de segurança tão básico.

Como precaução, é recomendável que os usuários ativem a autenticação de dois fatores no WordPress e alterem as senhas, principalmente se as mesmas combinações de credenciais tiverem sido usadas em outros sites.

A divulgação ocorre quando o Wordfence revela uma falha crítica que afeta o plug-in de registro de usuário do WPEverest que possui mais de 60.000 instalações ativas. A vulnerabilidade foi corrigida na versão 3.0.2.1.