Er is ontdekt dat een populaire beveiligingsplug-in voor WordPress, bekend als "All-In-One Security (AIOS) - Security and Firewall", bewaar de wachtwoorden van gebruikers in platte tekst in de database. De ontwikkelaar heeft drie weken nadat gebruikers begonnen te klagen een update uitgebracht, maar deze update lijkt problemen met de website te veroorzaken. De plug-in functioneert als een webapplicatie-firewall. Het biedt verschillende beveiligingsfuncties voor het inlogproces, waaronder tweefactorauthenticatie en uitsluitingen na een bepaald aantal onjuiste inlogpogingen.
De plug-in is geïnstalleerd op meer dan een miljoen WordPress-sites. Drie weken geleden ontdekte een gebruiker dat de plug-in de inlogpogingen van gebruikers in leesbare tekst opslaat in de database. Dat zegt Oliver Sild van beveiligingsbedrijf Patchstack,,Het is zeker dat hackers met behulp van de plug-in de inloggegevens uit de logboeken van gecompromitteerde sites zullen halen. De ontwikkelaar heeft gebruikers niet eens verteld al hun wachtwoorden te wijzigen.”
Op 10 juli werd versie 5.2.0 van de plug-in uitgebracht, maar deze veroorzaakte "fatale fouten" op websites. Vervolgens is afgelopen woensdag een nieuwe versie met een fix uitgebracht, maar gebruikers wel nog steeds aan het klagen over slecht functionerende websites. Bovendien draaien van de meer dan een miljoen websites die de plug-in gebruiken, slechts ongeveer 525,000 de versies waarin het probleem is verholpen. Dit betekent dat ongeveer een half miljoen websites nog steeds inlogpogingen registreren.