2013年以來�����,隨著網(wǎng)站數(shù)據(jù)泄露事故的頻發(fā)����,越來越多的網(wǎng)站開始提供兩步認(rèn)證(雙因子認(rèn)證)技術(shù)提高用戶賬戶的安全強(qiáng)度,而全球最大的博客平臺(tái)WordPress也通過類似duo_wordpress的第三方插件實(shí)現(xiàn)兩步認(rèn)證���。
近日�,duo_wordpress的開發(fā)商���,企業(yè)級(jí)移動(dòng)安全Duo Security透露該插件存在安全漏洞���,用戶在登錄同一站點(diǎn)群的一個(gè)網(wǎng)站跳轉(zhuǎn)到另外一個(gè)網(wǎng)站時(shí)可以繞過兩步認(rèn)證��。
當(dāng)管理員采用單一后臺(tái)管理多個(gè)網(wǎng)站�,而每個(gè)網(wǎng)站分別部署duo_wordpress插件時(shí)����,才會(huì)遭遇以上的安全問題。如果在單一后臺(tái)統(tǒng)一在多個(gè)網(wǎng)站部署duo_wordpress���,則不會(huì)遇到這個(gè)麻煩�����。
據(jù)Duo Security透露�,該公司的WordPress兩步認(rèn)證插件存在的這個(gè)安全漏洞還會(huì)影響第三方兩步認(rèn)證廠商的插件��,建議所有部署兩步認(rèn)證的WordPress管理員都應(yīng)當(dāng)檢查系統(tǒng)安全問題�。
Duo Security在官網(wǎng)的用戶建議給出了如下的情形:
一個(gè)多站W(wǎng)ordPress平臺(tái)包含兩個(gè)站點(diǎn),站點(diǎn)1和站點(diǎn)2��,其中站點(diǎn)1啟用了Duo WordPress插件而站點(diǎn)2沒有�����,當(dāng)用戶登錄站點(diǎn)1時(shí)會(huì)要求進(jìn)行兩步認(rèn)證,登錄站點(diǎn)2時(shí)只需輸入普通的賬戶密碼�����,但是當(dāng)站點(diǎn)1的用戶首先登錄站點(diǎn)2的登錄頁面�����,會(huì)獲得認(rèn)證并被重定向到站點(diǎn)1��,也就是說繞過兩步認(rèn)證自動(dòng)獲得站點(diǎn)1的認(rèn)證����。
Duo Security給出的解決辦法是打開全局范圍的兩步認(rèn)證����,然后為個(gè)別站點(diǎn)關(guān)閉兩步認(rèn)證,而不是先關(guān)閉全局認(rèn)證然后為個(gè)別站點(diǎn)單獨(dú)部署兩步認(rèn)證��。
