WordPress 兩步認證登錄插件爆安全漏洞
2013年以來,隨著網站數據泄露事故的頻發,越來越多的網站開始提供兩步認證(雙因子認證)技術提高用戶賬戶的安全強度,而全球最大的博客平臺WordPress也通過類似duo_wordpress的第三方插件實現兩步認證。
近日,duo_wordpress的開發商,企業級移動安全Duo Security透露該插件存在安全漏洞,用戶在登錄同一站點群的一個網站跳轉到另外一個網站時可以繞過兩步認證。
當管理員采用單一后臺管理多個網站,而每個網站分別部署duo_wordpress插件時,才會遭遇以上的安全問題。如果在單一后臺統一在多個網站部署duo_wordpress,則不會遇到這個麻煩。
據Duo Security透露,該公司的WordPress兩步認證插件存在的這個安全漏洞還會影響第三方兩步認證廠商的插件,建議所有部署兩步認證的WordPress管理員都應當檢查系統安全問題。
Duo Security在官網的用戶建議給出了如下的情形:
一個多站WordPress平臺包含兩個站點,站點1和站點2,其中站點1啟用了Duo WordPress插件而站點2沒有,當用戶登錄站點1時會要求進行兩步認證,登錄站點2時只需輸入普通的賬戶密碼,但是當站點1的用戶首先登錄站點2的 登錄頁面,會獲得認證并被重定向到站點1,也就是說繞過兩步認證自動獲得站點1的認證。
Duo Security給出的解決辦法是打開全局范圍的兩步認證,然后為個別站點關閉兩步認證,而不是先關閉全局認證然后為個別站點單獨部署兩步認證。
</blockquote> 來自 IT經理網
本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!